http://www.vephp.com/jiaocheng/61.html
在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。
这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。
对于这类的功击,有几种方式:
1、传统的浅层阻止:这个是最常用的。但是其实根本没用
2、加密令牌:
很多CMS会用到这个方式,就是生成一个随机串,比如VEPHP , 然后随表单生成一个隐藏域<input type="hidden" value="vephp" name="chk" /> 并把这个值保存到服务器的SESSION上。
等到用户提交后,检查这个表单值和SESSION对比,不符就阻止。
不过,这个方式如果用户多的话,会造成大量的SESSION,消耗服务器资源。不推荐。一种优化的方式是把这个口令放在CACHE系统中,但是因为缓存会不定时清除,所以也有问题。
3、加密方式:
推荐这种方式:分为单向加密和可逆向加密。
就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。跟方式2一样放在表单中。等到表单提交后检查。
这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。
下面是一个网上的不可逆的验证方式,值的推荐:
使用:
在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。
在PHP服务器接收端,这样检验。默认下这个字串的有效期是7200秒。
上面这种是不可逆的加密,
有时,我们还希望在表单中加入私密数据,跟随用户表单加密串一直生成,在前端不被用户看到,这样就可以用到可解密的函数,生成的字串在PHP端解密,起到2个作用:
1、得到私密数据。
2、验证表单来源的合法性。