为了防止CSRF攻击,我应该通过表单在隐藏字段中发送session_id()的md5哈希吗?他会够的吗?
由于
答案 0 :(得分:0)
我现在不能发表评论。您应该提供代码示例或其他内容。你的问题是非常通用的,如果你真的喜欢安全的攻击,你几乎应该考虑一些“模型”保护,如:
” ......
1.认证(请求时)
2.标题检查
3. I / O在磁盘中写入时间戳(或其他)
4.通常由GET(查询字符串)发送的第一个令牌,它是用户sessionID的SHA1或SHA512哈希值
5. POST(表单)发送的第二个令牌,它是用户的sessionID的SHA1或SHA512(取决于请求必须多快)散列的aes256 crypt,以及datetime等其他信息(加密)只有aes256和包含所有请求的信息)
6.这两个令牌必须与用户的原始sessionID匹配,并且解密附加信息
7.时间戳令牌需要匹配磁盘上保存的时间戳(或其他)
......”
每个用户都是不同的,我在我的博客上写道:https://blog.myetv.tv/2017/09/18/writing-secure-code-how-myetv-do-crypt-auth-transfer-and-store-informations/
希望它有所帮助;)