Php csrf令牌攻击

时间:2015-10-30 06:00:04

标签: php csrf

请清楚我关于CSRF攻击的概念。 在csrf中,我们从隐藏字段发送令牌,即

<input type="hidden" name="csrf-token" value="5487987542hhui67868" />

我们在会议的基础上提交表格。 如果攻击者找到我的表格并更改隐藏价值并提交表格,那么他将会成功。 我怎样才能阻止形式。

1 个答案:

答案 0 :(得分:0)

您可以验证CRSF令牌,如果它无效,您可以向用户返回错误。

例如:

if($_POST['crsf-token'] == $_SESSION['crsf-token'] { 
      ... 
} else { 
     // error
}