【发布时间】:2010-12-15 00:56:25
【问题描述】:
我想知道是否有防止自动表单提交/POST 攻击的好的解决方案。
是否可以添加一个带有令牌生成服务器端的表单字段,该服务器端对于网站上显示的每个表单都是唯一的,但有一种方法可以检查此令牌是否确实由我的应用程序而不是用户生成,无需将所有令牌保存到数据库?
IMO 如果应用可以知道数据来自应用生成的表单(意味着它使用只有应用知道的逻辑),那么它将继续处理表单。
对这种算法有什么建议吗?
编辑: 换句话说,我可以生成一个字符串:
1) 当我收到回复时,我可以识别为我生成的字符串,
2) 知道它只被使用过一次,
3) 在客户端生成这样的字符串会花费用户太多次尝试,
4) 此字符串不必由应用程序持久化
【问题讨论】:
标签: forms-authentication security http-post