请清楚我关于CSRF攻击的概念 . 在csrf中我们从隐藏字段发送令牌,即
<input type="hidden" name="csrf-token" value="5487987542hhui67868" />
我们在 Session 的基础上提交表格 . 如果攻击者找到我的表格并更改隐藏 Value 并提交表格,那么他将会成功 . 我怎么能防止形式 .
您可以验证CRSF令牌,如果它无效,您可以向用户返回错误 .
例如:
if($_POST['crsf-token'] == $_SESSION['crsf-token'] { ... } else { // error }
1 回答
您可以验证CRSF令牌,如果它无效,您可以向用户返回错误 .
例如: