作者asshole88 (爱嘶猴)
看板PHP
标题[请益] CSRF问题
时间Fri Feb 6 00:00:16 2015
各位好~
小鲁最近在设计某机关的网页後,经过漏洞检测软体扫瞄
出现了几个HTML form without CSRF protection的警告
虽然风险程度不高,但是不知道要如何解决呢?
还是如何说服客户呢??
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.54.199
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1423152019.A.28F.html
2F:→ gname: 如果只是要过机器检测的话,塞个简单的 token 可以解决 02/06 12:49
3F:→ asshole88: 请问如何比对server与client端token比较安全正确?? 02/07 00:33
4F:→ MOONRAKER: 原则上只要每次出form的时候生一个token,同时放在sess 02/07 12:20
5F:→ MOONRAKER: 里面,等form post回来的时候看两者是否相符就可以了 02/07 12:20
6F:→ MOONRAKER: 或者很多framework都有提供自动机制 02/07 12:21
7F:→ asshole88: 谢谢~ 已顺利解决 02/11 16:29