5

注销哈希通常在 php 中处理的方式是什么?

在很多网站上,通常都有注销哈希来确认注销的用户是正确的用户,这通常是如何处理的?

例子

http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5

nil4ytwojytjwoytjwy5tw5是哈希


只是我的研究的更新,以便其他人可以看到它是如何工作的。

我发现这种类型的攻击主要用于 xero 字节图像和 iframe 本身。

如果您登录了站点 A 并且还浏览了站点 B,站点 B 可以放置一个图像标签:

<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />

并且因为请求实际上来自合法登录用户,所以请求被处理。

通过在重要的表单中添加验证值,例如转账、注销等,黑客无法获取该值,因此请求不会被执行!

谢谢你的帮助

4

1 回答 1

3

这是为了停止 CSRF。该值是“csrf 令牌”,它是存储为会话变量的加密随机数(随机数)。检查以确保请求来自同一站点,而不是来自攻击者的站点。

于 2010-08-25T22:56:37.743 回答