我想找到一个与平台/语言无关的解决方案,以确保 FORM POST 的来源来自预期的来源。即 Page1.aspx 发布到同一网站内的 Page2.php。
具体来说,我在这里尝试做的是防止请求伪造。
问问题
3395 次
3 回答
8
在表单中使用隐藏字段,其中包含您的应用生成的令牌。将令牌存储在用户会话中。提交表单时,您的应用程序将检查隐藏字段的值是否与用户会话中存储的值相同。
如果它是相同的,那么你就知道提交的表单来自它预期的地方。
于 2009-07-23T15:53:35.533 回答
1
旧线程,但可能仍然有用。
如果您没有设置会话信息(最佳选项),那么您可以包含一个带有加密时间戳的隐藏字段,然后将其(解密后)与进程结束时的当前时间进行比较,以确保它相对接近,因此你认为有必要的最近的。
于 2010-07-18T03:58:56.510 回答
0
您可以在表单中包含一个隐藏字段,即 SHA1Hash("some-secret" + Remote_IP + PerSessionSecret)。
PerSessionSecret 是您在会话开始时自动生成的。“some-secret” 是一个全局秘密值 - 如果随机生成的 PerSessionSecret 变得不够随机,这将有所帮助。
然后在表单提交时进行相同的计算,您知道它很可能是从发送到的同一个客户端提交的。(当然,如果您在单个地址后面有多个客户端,例如代理或 NAT,则无法可靠地区分它们)。
于 2009-07-23T15:57:49.347 回答