CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。

通过GET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:

如果不是,那么您也可以直接

通过POST方法提交,您可以在form表单内加入

echo '';

如果需要兼容旧版Z-BlogPHP,可以使用

<?php if (function_exists('CheckIsRefererValid')) {echo '

如果您想在您的应用内集成CSRF Token检测(这将在未来成为上架应用中心的必需要求),以及在增强安全模式下进行来源检测,您可以直接使用以下函数

CheckIsRefererValid();

如果需要兼容旧版Z-BlogPHP,可以使用

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

参考:https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

简单举例:

if(isset($_POST['form'])){

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

}

<?php if (function_exists('CheckIsRefererValid')) {echo '

zblog wiki地址:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security

php的防csrf攻击,zblog php添加Token防止CSRF攻击相关推荐

  1. csrf攻击防御 php,Yii2.0防御csrf攻击方法

    yii2中无论是用测试工具POSTMAN.用命令行CURL请求.ajax请求总是会得到http400:Bad Request的错误:而如果用Web网页方式GET访问(去除verbFilter的POST ...

  2. 计算机网络防防火墙不能,计算机网络防火墙不能()。 A、防止数据驱动式攻击 B、防止感染了病毒的软件或文件的传输 C、防范不经由防火墙产生的攻击 D、防范来自内部的攻击...

    计算机网络防火墙不能(). A.防止数据驱动式攻击 B.防止感染了病毒的软件或文件的传输 C.防范不经由防火墙产生的攻击 D.防范来自内部的攻击 更多相关问题 两肺满布湿啰音,常提示 某氢氧化钠溶液中 ...

  3. token 防止csrf

    转自:ttps://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/#icomments 当前防御 CSRF 的几种策略 验证 HTTP Ref ...

  4. ddos攻击工具_简单有效的ddos攻击防御方法

    做过网站的站长大多有被ddos攻击的经历,不少人面对竞争对手的网站就是直接雇人ddos攻击网站,导致对方网站长期打不开,最后无奈关闭网站,初尧今天就告诉大家一个最简单也是最有效的防御方法. 高防服务器 ...

  5. 什么是Teardrop攻击?我们要如何防御Teardrop攻击?

    Teardrop攻击是一种拒绝服务攻击,是一种基于UDP的病态分片数据包的攻击方法,英文"Tear"是"眼泪"的意思,"drop"是&quo ...

  6. wifi 中间人攻击_公共wifi下的中间人攻击

    现在许多地方都提供免费公共WiFi.作为使用服务的额外好处,机场,酒店和咖啡馆都在提供免费的网络连接.对于许多人来说,能够在旅途中连接到免费的互联网似乎是理想的选择.能够访问他们的工作电子邮件或在线共 ...

  7. GitChat 被恶意攻击引发的技术性思考:拒绝服务攻击

    本文来自作者 肖志华 在 GitChat 上分享 「GitChat 被恶意攻击引发的技术性思考:拒绝服务攻击」,「阅读原文」查看交流实录. 「文末高能」 编辑 | 哈比 拒绝服务的类型很多,挑几个有特 ...

  8. 图像识别攻击还没完全解决,语音识别攻击又来了!

    当前的语音识别技术发展良好,各大公司的语音识别率也到了非常高的水平.语音识别技术落地场景也很多,比如智能音箱,还有近期的谷歌 IO 大会上爆红的会打电话的 Google 助手等.本文章的重点是如何使用 ...

  9. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

最新文章

  1. jquerymobile知识点三:弹出层popup
  2. Java后台解析前台的get中文请求
  3. python打包包含所有依赖_解决Python开发过程中依赖库打包问题的方法
  4. 不显示表头_技术干货 | 基于数模混合型SoC实现的两线制高精度无源表头方案
  5. JAVA内存释放机制
  6. HDU各种考试题题解
  7. 常见的Java基础的面试题
  8. rdesktop连接windows远程桌面详解
  9. 父html向子html传递参数,子父组件之间传值.html
  10. GML可视化学习(三)
  11. mac html乱码,Mac 复制网页乱码
  12. FFMPEG录屏(12)---- DXGI 捕获桌面
  13. 汽车工况电量计算-转速扭矩图
  14. Tyvj 1728 普通平衡树
  15. lambda表达式 拉姆达
  16. 今日快讯: Veeam将以50亿美元被Insight Partners收购兼评SDS之未来
  17. 计算机考研数学复试时间,数学专业考研准备多久
  18. 承德算命大师解读命与运的奥秘,承德算命大师预测指导
  19. Linux系统网络桥接
  20. QQ快捷登录(sdk登录)

热门文章

  1. 456. 132 Pattern | 456. 132 模式(单调栈)
  2. 【Java】什么是CAS、synchronized升级概述、偏向锁/轻量级锁详解 - 笔记
  3. 如果你想写自己的Benchmark框架
  4. 【测试点分析】1067 试密码 (20分)_20行代码AC
  5. 30行代码AC_HDU-5933 ArcSoft‘s Office Rearrangement(模拟+题解报告)
  6. Web前端开发笔记——第四章 JavaScript程序设计 第四节 条件语句和循环语句
  7. 计算机学的语数英大概是那些,职高如果选电子商务专业那是不是要学语数英
  8. linux中matlab,linux中Matlab编译m文件
  9. Python中的集合
  10. hadoop 实战练习_Hadoop 实战实例