【发布时间】:2011-09-25 20:58:50
【问题描述】:
我有一个提交表单,有 9 个字段,其中 6 个需要验证,包括一个包含文件大小和文件类型验证的上传字段。
生成一个随机令牌,以防止 CSRF 起作用,但是使用令牌时验证的正确方法是什么?
如果我在同一个文件中进行验证,则会在重新加载验证时重新生成令牌。 (可以防止这种情况吗?我已经尝试过isset(),但仍然会重新生成。)但是使用相同的文件会阻止用户的姓名和电子邮件被存储在会话中。
最好在单独的文件中进行验证,然后将每个错误的 URL 中的基本变量重定向回表单,即http://www.example.com/form?n=1
使用单独的文件也意味着将表单数据存储在会话中,因此如果重定向中存在错误,可以重新填充表单。
感谢您的任何帮助。
【问题讨论】:
-
我发现 this article by Chris 很好地解释了 CSRF 是什么以及如何保护自己免受它的侵害。
-
谢谢你,他比书中的内容略好。
-
md5(uniqid(rand(), TRUE));对于安全上下文不应该被信任。 stackoverflow.com/a/31683058/4357238