我有一些严重的怀疑:
我们基本上使用随机会话令牌来检查POST请求是否源自所需页面。假设恶意用户打开页面,右键单击并查看页面源。然后他获取当前会话的令牌。他打开了另一个标签,并使用自己的恶意脚本令牌。这样,会话完好无损,令牌也被盗了!如何防止这种情况?
就像ajax函数说:
$.post("abcd.php",{'uid':userid,'code':'<?php echo md5($_SESSION['randcd']); ?>'}
显然,令牌对源代码中的黑客可见。由于会话未被销毁,因此令牌不会改变。因此我怀疑
我感谢大家在这个精彩的论坛上如此耐心。
感谢所有帮助