保护信用卡结帐 - $ _SERVER ['HTTP_REFERER']验证

时间:2010-08-12 18:20:19

标签: php

如果根据PHP文档无法信任$_SERVER['HTTP_REFERER'],您如何确定POST来自我们自己的服务器?会议是唯一的方式吗?

2 个答案:

答案 0 :(得分:1)

您应该查看标准的“跨站点请求伪造”预防技术。这些将为您提供邮件通过您的服务器/代码传递的一些安全性。

答案 1 :(得分:0)

使用nonce字段并在表单帖子上验证它。使用nonce(一次使用的数字)是防止跨站点请求伪造(CSRF)黑客攻击的最佳方法。

此库对您http://fullthrottledevelopment.com/php-nonce-library

非常有帮助

它基于wordpress如何处理nonce字段。

你可能还会看到wordpress代码,看看它是如何处理nonce的。有两个函数wp_create_nonce()创建一个nonce值,用于要提交的表单中的隐藏字段,然后有wp_verify_nonce()在提交后验证nonce。