0

所以有人把这段代码放在他的网站上:

<iframe name="frame" src="" frameborder="0"  width="1" height="1" allowfullscreen style="width:1;height:1;"></iframe>
<form name="form" method="POST" action="http://mysite.com/vote.php" target="frame">
  <input type="hidden" name="vote" value="1" />
  <input type="hidden" name="id" value="1337" />
</form>
<script type="text/javascript">
  document.forms.form.submit();
</script>

通过这段小代码,他诱使我的所有用户投票支持他的帖子(1337)。

我怎样才能阻止这个?有任何想法吗?

我已经尝试了以下(.htaccess),但它并没有阻止它:

# DISABLE IFRAME
Header set X-Frame-Options DENY
Header always append X-Frame-Options SAMEORIGIN
4

2 回答 2

0
于 2013-05-09T19:08:40.267 回答
-1

一个好方法是在真实表单中添加一个及时更改的验证密钥,并在处理新条目时检查该密钥。

连同检查 http 引荐来源网址,这几乎是防弹的。

简单的解决方案:另一个不错的选择是简单地检查 cookie。在表单页面上设置一个 cookie 并在提交页面上检查它。

祝你好运

于 2013-05-09T13:39:52.377 回答