我正在为大学的项目建立自己的社交媒体网络。我遇到的一个障碍是安全表格。
我正在为一个用户选择将朋友请求发送给另一个用户,我可以编写代码。但这个棘手的部分是让它变得安全。如果我只是使用xxxxxx / profile.php?id = 2& action = sendfr,那么可以向人们发送该链接并向他们发送朋友请求。
如果我发送action = sendfr作为POST数据,那么欺骗者可以在网站上制作表格来做同样的事情。
我正在考虑的一种方法是在发送给客户端的POST数据中发送某种AuthKey用于这些目的。
有人可以推荐使用户操作安全的最佳选择吗?
答案 0 :(得分:2)
您要避免的是Cross-site request forgery。 There several ways to avoid them但最常用的是在服务器中生成随机令牌,并将其与每个可以对持久数据进行更改的页面一起发送。然后,当用户发回请求时,它必须包含令牌,以便服务器可以验证令牌是否匹配。在这种情况下,令牌必须是随机的,并且在每个请求中都是不同的。您可以在上面链接的OWASP页面中找到更多详细信息和技术。