注销哈希通常在 php 中处理的方式是什么?
在很多网站上,通常都有注销哈希来确认注销的用户是正确的用户,这通常是如何处理的?
例子
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5是哈希
只是我的研究的更新,以便其他人可以看到它是如何工作的。
我发现这种类型的攻击主要用于 xero 字节图像和 iframe 本身。
如果您登录了站点 A 并且还浏览了站点 B,站点 B 可以放置一个图像标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
并且因为请求实际上来自合法登录用户,所以请求被处理。
通过在重要的表单中添加验证值,例如转账、注销等,黑客无法获取该值,因此请求不会被执行!
谢谢你的帮助