【发布时间】:2013-01-07 17:30:05
【问题描述】:
我正在编写一个用于 CSRF 预防的 PHP 类。
该类可以生成 CSRF 令牌,然后检查它们,但我还要验证 - 作为额外 - 如果请求来自同一浏览器 ($_SERVER['HTTP_USER_AGENT']) 和同一 IP ($_SERVER['REMOTE_ADDR'])。
我知道有些用户可能有动态 IP 地址,而这些地址是可以改变的。
所以我的问题是:用户的 IP 地址有可能在 2 个请求之间更改吗?
我还应该检查$_SERVER['REMOTE_ADDR'] 还是只检查用户代理?
【问题讨论】: