我正在开发一个音乐网络应用程序。我正在添加一个功能,其中每首歌曲旁边都有一个按钮,可以将其从数据库中删除。该页面将通过将参数 songId 发送到将处理它的 PHP 页面来完成此操作。现在,我想阻止人们从远程服务器向该 PHP 页面发送 POST 请求。我可以检查哪些条件来限制 POST 请求仅来自我的音乐网络应用程序或本地主机。
问问题
811 次
if($_SERVER['REMOTE_ADDR'] != '127.0.0.1' && $_SERVER['REMOTE_ADDR'] != '::1') {
exit('access denied');
}
但是,这不会保护您免受CSRF的侵害。为了防止恶意网站在提交时(可能通过 JavaScript 自动)创建一个 POST 到您的应用程序的表单,您需要通过攻击者网站无法知道的秘密令牌实施适当的 CSRF 保护。