HTML格式的CSRF会话

Question

在CSRF表单保护中，我们使用会话权限。考虑一下我是否在同一登录页面上登录了PHP。我想使用CSRF确保我的登录表单安全。

在一页上，我们如何添加两个会话。 ？ 我们将在用户登录时开始一个会话，然后在CSRF登录时使用第二个会话。

怎么可能。请帮助发送示例演示。

谢谢。

Answer 1

尽管问题很模糊，我还是会回答。为了保护自己免受CSRF的侵害，原则上您需要采取最简单的形式。

1. 当您在呈现登录表单的登录页面上发出初始请求时，请生成唯一的令牌/哈希服务器端，并将其存储在会话或其他数据存储中。
2. 呈现登录页面时，将此令牌客户端存储在cookie中或作为隐藏的表单字段存储。
3. 当用户填写表格并提交请求时，首先请确保唯一令牌有效，然后对用户进行身份验证。如果唯一令牌不匹配，则它们要么篡改令牌，要么试图以自动方式发出发布请求。

CSRF最适合已登录的用户，因为如果令牌落入不正确的人手中，可能会发生最坏的情况。因此，在这种情况下，一旦该人登录了每个活动的用户会话，您将为每个请求生成唯一的令牌，以确保发出请求的实际上是对用户进行身份验证。

希望这会有所帮助！