注销哈希的方式通常在php中处理?
在许多网站上通常会注销哈希以确认注销的用户是否是正确的用户,这通常如何处理?
实施例
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5 是哈希
只是对我的研究进行更新,以便其他人可以了解其工作原理。
我发现这种类型的攻击主要用于xero-byte图像和iframe。
如果您登录SITE A并且您还浏览SITE B,SITE B cauld place,请说出图片标记:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
因为问题实际上来自合法的登录用户,所以处理了请求。
通过向重要表单添加验证值,例如转移帐户,注销等,黑客无法获取此值,因此请求将不会被执行!
感谢您的帮助