资讯专栏INFORMATION COLUMN

模拟表单令牌,解决前后端分离csrf攻击的问题

NikoManiac / 631人阅读

摘要:大家都知道,之前项目没有使用前后端分离方案时,成熟的框架解决方案都是在表单当中增加隐藏列,这样每次提交时都会验证,使用一次后销毁。例如前后端分离情况下,该如何实现呢很简单,通过实现。前端再调用接口的时候,要带上这个使用一次后从中销毁。

csrf跨站请求伪造。
大家都知道,之前项目没有使用前后端分离方案时,成熟的框架解决方案都是在form表单当中增加隐藏列,这样每次提交时都会验证 token ,使用一次后销毁。例如:

前后端分离情况下,该如何实现呢?
很简单,通过cookie,redis实现。
服务端提供一个接口(保证在同一域名下),生成_token_,将_token_写入到redis和cookie。前端再调用接口的时候,要带上这个token.使用一次后从redis中销毁。

public function testAction(){
    $_token_ = md5(uniqid());
    ...#把token存入到redis当中
    setcookie("_token_", $_token_, time()+(24*3600), "/");
    return false;
}

大家有什么好的方案,可以留言讨论。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/30512.html

相关文章

  • 模拟表单令牌解决前后分离csrf攻击问题

    摘要:大家都知道,之前项目没有使用前后端分离方案时,成熟的框架解决方案都是在表单当中增加隐藏列,这样每次提交时都会验证,使用一次后销毁。例如前后端分离情况下,该如何实现呢很简单,通过实现。前端再调用接口的时候,要带上这个使用一次后从中销毁。 csrf跨站请求伪造。大家都知道,之前项目没有使用前后端分离方案时,成熟的框架解决方案都是在form表单当中增加隐藏列,这样每次提交时都会验证 toke...

    noONE 评论0 收藏0
  • 总结 XSS 与 CSRF 两种跨站攻击

    摘要:但最近又听说了另一种跨站攻击,于是找了些资料了解了一下,并与放在一起做个比较。脚本中的不速之客全称跨站脚本,是注入攻击的一种。 XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。...

    jcc 评论0 收藏0
  • 安全系列:CSRF

    摘要:系列文章前端安全系列篇前端安全系列篇介绍跨站请求伪造,也被称为或者,通常缩写为或者,是一种对网站的恶意利用。 系列文章: 前端安全系列:XSS篇前端安全系列:CSRF篇 CSRF介绍 CSRF(Cross-site request forgery)跨站请求伪造,也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利...

    Java_oldboy 评论0 收藏0

发表评论

0条评论

NikoManiac

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<