作者asshole88 (愛嘶猴)
看板PHP
標題[請益] CSRF問題
時間Fri Feb 6 00:00:16 2015
各位好~
小魯最近在設計某機關的網頁後,經過漏洞檢測軟體掃瞄
出現了幾個HTML form without CSRF protection的警告
雖然風險程度不高,但是不知道要如何解決呢?
還是如何說服客戶呢??
謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.54.199
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1423152019.A.28F.html
2F:→ gname: 如果只是要過機器檢測的話,塞個簡單的 token 可以解決 02/06 12:49
3F:→ asshole88: 請問如何比對server與client端token比較安全正確?? 02/07 00:33
4F:→ MOONRAKER: 原則上只要每次出form的時候生一個token,同時放在sess 02/07 12:20
5F:→ MOONRAKER: 裡面,等form post回來的時候看兩者是否相符就可以了 02/07 12:20
6F:→ MOONRAKER: 或者很多framework都有提供自動機制 02/07 12:21
7F:→ asshole88: 謝謝~ 已順利解決 02/11 16:29