一种最优方式防跨站表单提交,用户限时token
就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。放在表单中,等到表单提交后检查。
这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。
对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。
下面是一个网上的不可逆的验证方式,值的推荐:
class Token{ CONST KEY = "your-secret-salt"; static $ttl = 3; //$ttl表示这个随机串的有效时间(秒) static public function get($uid, $action = -1){ $i = ceil(time() / self::$ttl); return substr(self::challenge($i . $action . $uid), -12, 10); } static public function verify($uid, $crumb, $action = -1){ $i = ceil(time() / self::$ttl); if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb || substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb) return true; return false; } static private function challenge($data){ //内部私有加密函数 return hash_hmac('md5', $data, self::KEY); } }
使用:
在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。
<input type="hidden" name="crumb" value="<?php echo Token::get($uid)?>">
在PHP服务器接收端,这样检验。
<?php if(Token::verify($uid, $_POST['token'])){ //按照正常流程处理表单 }else{ //校验失败,错误提示流程 }
摘自:http://www.vephp.com/jiaocheng/61.html