PHP防止站外表单跨站提交的几种办法详解

众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。

这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。

对于这类的功击,有几种方式:

1、传统的浅层阻止:这个是最常用的。但是其实根本没用

  1. $referer = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : NULL;
  2. $host = $_SERVER['HTTP_HOST'];
  3. echo '提交过来的地址:'.$referer;
  4. echo '
  5. 本站域名:'.$host;
  6. echo substr($referer,7,strlen($host));
  7. if(substr($referer,7,strlen($host)) != $host){
  8. echo '非法操作';
  9. }else{
  10. echo '正常操作';
  11. }

因为REFERER可以伪造。所以没有意义。

2、加密令牌:

很多CMS会用到这个方式,就是生成一个随机串,比如VEPHP , 然后随表单生成一个隐藏域 并把这个值保存到服务器的SESSION上。

等到用户提交后,检查这个表单值和SESSION对比,不符就阻止。

不过,这个方式如果用户多的话,会造成大量的SESSION,消耗服务器资源。不推荐。一种优化的方式是把这个口令放在CACHE系统中,但是因为缓存会不定时清除,所以也有问题。

3、加密方式:

推荐这种方式:分为单向加密和可逆向加密。

就是生成一个随机且变换频繁加密字符串(可逆和不可逆)。跟方式2一样放在表单中。等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。这种方式中,字符串的有效时间要设置好,太短了用户体验不好,比如好不容易写好文章提交,令牌却到期了。不得不重写,这很糟糕的体验。因此,TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式,值的推荐:

 

  1. class Crumb {
  2. CONST SALT = "http://www.vephp.com";
  3. static $ttl = 7200; #很重要,不要太短,看表单用途修改issueCrumb()过期时间
  4. /** 生成加密串,可以添加到表单中
  5. * @param $uid 用户ID
  6. * @param int $action
  7. * @return bool|string
  8. */
  9. static public function issueCrumb($uid$ttl=7200, $action = -1) {
  10. if(intval($ttl)>7200) self::$ttl = $ttl;
  11. $i = ceil(time() / self::$ttl);
  12. return substr(self::challenge($i . $action . $uid), -12, 10);
  13. }
  14. /** 解密
  15. * @param $uid
  16. * @param $crumb 加密时 Crumb::issueCrumb($uid)生成的字串。
  17. * @param int $action
  18. * @return bool
  19. */
  20. static public function verifyCrumb($uid$crumb$action = -1) {
  21. $i = ceil(time() / self::$ttl);
  22. if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
  23. substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
  24. return true;
  25. return false;
  26. }
  27. //内用
  28. static public function challenge($data) {
  29. return hash_hmac('md5', $data, self::SALT);
  30. }
  31. }

使用:

在表单中插入一个隐藏的随机串crumb,其中,$uid可以是会员的ID,这样就有独立性。

  1. <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">

在PHP服务器接收端,这样检验。默认下这个字串的有效期是7200秒。

  1. <!--?php &lt;br ?--> if(!Crumb::verifyCrumb($uid$_POST['crumb'])) echo "验证失败";

上面这种是不可逆的加密,

有时,我们还希望在表单中加入私密数据,跟随用户表单加密串一直生成,在前端不被用户看到,这样就可以用到可解密的函数,生成的字串在PHP端解密,起到2个作用:

1、得到私密数据。

2、验证表单来源的合法性。

 

  • weinxin
  • weinxin
  • IT小天博客
  • 小天既不是大神,也不是技术大咖,喜欢折腾,喜欢代码的世界,喜欢分享自己的生活乐趣和学习经验,关注互联网发展,关注网站建设。
  • GitHub 微博 微信 球球Q 邮箱

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  2   博主  0

    • avatar 暧昧 3

      挺好的

      • avatar 暧昧 3

        不错