我有一个网络表单,我正在使用 PHP。我知道表单可以被操纵(我相信它被称为重放攻击或中间人攻击)。所以我想使用一些真实性令牌作为隐藏字段。
我知道的威胁可能性是:
- 攻击者劫持了合法用户的表单(我认为这是中间人攻击)
- 合法用户本身就是攻击者:他获取表单,读取令牌但使用它发送危险数据(我相信这是重放攻击)
在我回答问题之前,如果我到目前为止所说的任何内容不正确,请纠正我,因为也许我的理解有缺陷。
现在的问题:
- 生成此令牌的最佳做法是什么,以便没有它的表单被拒绝(例如,加盐?)。
- 人们做了什么来确保令牌不会被重放。
基于评论的新小问题:
- 会话劫持与中间人攻击相同吗?