php的防csrf攻击,zblog php添加Token防止CSRF攻击
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。
通过GET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:
如果不是,那么您也可以直接
通过POST方法提交,您可以在form表单内加入
echo '';
如果需要兼容旧版Z-BlogPHP,可以使用
<?php if (function_exists('CheckIsRefererValid')) {echo '
如果您想在您的应用内集成CSRF Token检测(这将在未来成为上架应用中心的必需要求),以及在增强安全模式下进行来源检测,您可以直接使用以下函数
CheckIsRefererValid();
如果需要兼容旧版Z-BlogPHP,可以使用
if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();
参考:https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660
简单举例:
if(isset($_POST['form'])){
if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();
}
<?php if (function_exists('CheckIsRefererValid')) {echo '
zblog wiki地址:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security
php的防csrf攻击,zblog php添加Token防止CSRF攻击相关推荐
- csrf攻击防御 php,Yii2.0防御csrf攻击方法
yii2中无论是用测试工具POSTMAN.用命令行CURL请求.ajax请求总是会得到http400:Bad Request的错误:而如果用Web网页方式GET访问(去除verbFilter的POST ...
- 计算机网络防防火墙不能,计算机网络防火墙不能()。 A、防止数据驱动式攻击 B、防止感染了病毒的软件或文件的传输 C、防范不经由防火墙产生的攻击 D、防范来自内部的攻击...
计算机网络防火墙不能(). A.防止数据驱动式攻击 B.防止感染了病毒的软件或文件的传输 C.防范不经由防火墙产生的攻击 D.防范来自内部的攻击 更多相关问题 两肺满布湿啰音,常提示 某氢氧化钠溶液中 ...
- token 防止csrf
转自:ttps://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments 当前防御 CSRF 的几种策略 验证 HTTP Ref ...
- ddos攻击工具_简单有效的ddos攻击防御方法
做过网站的站长大多有被ddos攻击的经历,不少人面对竞争对手的网站就是直接雇人ddos攻击网站,导致对方网站长期打不开,最后无奈关闭网站,初尧今天就告诉大家一个最简单也是最有效的防御方法. 高防服务器 ...
- 什么是Teardrop攻击?我们要如何防御Teardrop攻击?
Teardrop攻击是一种拒绝服务攻击,是一种基于UDP的病态分片数据包的攻击方法,英文"Tear"是"眼泪"的意思,"drop"是&quo ...
- wifi 中间人攻击_公共wifi下的中间人攻击
现在许多地方都提供免费公共WiFi.作为使用服务的额外好处,机场,酒店和咖啡馆都在提供免费的网络连接.对于许多人来说,能够在旅途中连接到免费的互联网似乎是理想的选择.能够访问他们的工作电子邮件或在线共 ...
- GitChat 被恶意攻击引发的技术性思考:拒绝服务攻击
本文来自作者 肖志华 在 GitChat 上分享 「GitChat 被恶意攻击引发的技术性思考:拒绝服务攻击」,「阅读原文」查看交流实录. 「文末高能」 编辑 | 哈比 拒绝服务的类型很多,挑几个有特 ...
- 图像识别攻击还没完全解决,语音识别攻击又来了!
当前的语音识别技术发展良好,各大公司的语音识别率也到了非常高的水平.语音识别技术落地场景也很多,比如智能音箱,还有近期的谷歌 IO 大会上爆红的会打电话的 Google 助手等.本文章的重点是如何使用 ...
- WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...
核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...
最新文章
- jquerymobile知识点三:弹出层popup
- Java后台解析前台的get中文请求
- python打包包含所有依赖_解决Python开发过程中依赖库打包问题的方法
- 不显示表头_技术干货 | 基于数模混合型SoC实现的两线制高精度无源表头方案
- JAVA内存释放机制
- HDU各种考试题题解
- 常见的Java基础的面试题
- rdesktop连接windows远程桌面详解
- 父html向子html传递参数,子父组件之间传值.html
- GML可视化学习(三)
- mac html乱码,Mac 复制网页乱码
- FFMPEG录屏(12)---- DXGI 捕获桌面
- 汽车工况电量计算-转速扭矩图
- Tyvj 1728 普通平衡树
- lambda表达式 拉姆达
- 今日快讯: Veeam将以50亿美元被Insight Partners收购兼评SDS之未来
- 计算机考研数学复试时间,数学专业考研准备多久
- 承德算命大师解读命与运的奥秘,承德算命大师预测指导
- Linux系统网络桥接
- QQ快捷登录(sdk登录)
热门文章
- 456. 132 Pattern | 456. 132 模式(单调栈)
- 【Java】什么是CAS、synchronized升级概述、偏向锁/轻量级锁详解 - 笔记
- 如果你想写自己的Benchmark框架
- 【测试点分析】1067 试密码 (20分)_20行代码AC
- 30行代码AC_HDU-5933 ArcSoft‘s Office Rearrangement(模拟+题解报告)
- Web前端开发笔记——第四章 JavaScript程序设计 第四节 条件语句和循环语句
- 计算机学的语数英大概是那些,职高如果选电子商务专业那是不是要学语数英
- linux中matlab,linux中Matlab编译m文件
- Python中的集合
- hadoop 实战练习_Hadoop 实战实例