还剩1页未读,继续阅读
文本内容:
防止伪造跨站请求的小招式WEB安全电脑资料作者aolinks伪造跨站请求介绍伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等,伪造链接,引诱用户点击,或是让用户在不知情的情况下访问伪造表单,引诱用户提交表单可以是隐藏的,用图片或链接的形式伪装比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_for m_id和fb_dtsg随机串代码实现咱们按照这个思路,山寨一个crumb的实现,代码如下class Crumb{CONST SALT=your-secret-salt;static$ttl=7200;static publicfunction challenge$data{return hash_hmacmd5,$data,self::SALT;}static publicfunction issueCrumb$uid,$action=-1{$i=ceiltime/self::$ttl;return substrself::challenge$i.$action.$uid,-12,10;}static publicfunction verifyCrumb$uid,$crumb,$action=-1{$i=ceiltime/self::$ttl;ifsubstrself::challenge$i.$action.$uid,-12,10==$crumb||substrself::challenge$i-
1.$action.$uid,-12,10==$crumb returnfalse;}}代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间,应用示例构造表...。