php - 防站外提交（csrf）有什么好办法？-PHP中文网问答

讲师中心微信公众号

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题人工智能 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架人工智能 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机游戏

最近更新

php - 防站外提交（csrf）有什么好办法？

PHPz 2017-04-10 14:37:25

[PHP讨论组]

0

6

684

举报

需要代码，如何防止站外提交数据

PHPz

学习是最好的投资！

全部回复(3)

高洛峰2017-04-10 14:39:25 3楼

比较常见的方法是给每个需要提交数据的表单产生一个hashkey，提交的时候一起带上就行。

赞 +0

添加回复

PHP中文网2017-04-10 14:39:25 2楼

检查 referrer header
如果用户的id是用户以外的其他人看不到的，可以在请求里带上用户的id
请求里带上一个token，token可以是绑定用户，也可以是每次请求生成（*)
提交请求后，服务器确认后再执行请求对应的操作，例如弹出对话框要求用户确认
提醒用户在访问你的网站的时候不要访问其他站点
提醒用户及时登出
用户关闭页面后就登出用户
用户一定时间未操作就登出用户

* token每次生成比较头痛的就是并行兼容的问题，如何对付客户用多个标签页浏览同一网页时，各个标签页的行为一致，需要小心处理。我喜欢折中一下，token采取绑定用户+超时，但不绑定请求的方式。保持一定便利性的同时，简单降低token长期不变带来的回放攻击的风险。 @沙渺

赞 +0

添加回复

阿神2017-04-10 14:39:25 1楼

请求带上一个token，token可以考虑绑定用户，提交请求后，服务器确认后再执行请求

赞 +0

添加回复

专题推荐

更多>

热门话题

热门教程

更多>

相关教程

热门推荐

最新课程

最新下载

更多>

网站特效

网站源码

网站素材

前端模板

关于我们免责申明举报中心意见反馈讲师合作广告合作最新更新: php中文网：公益在线php培训，帮助PHP学习者快速成长！; 关注服务号技术交流群

PHP中文网订阅号: 每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

PHP学习

技术支持

返回顶部