我有一个网站,由 MODx 提供支持,以表格为中心。使用表格访问网页仅限注册会员(由 MODx 处理)。用户填写一些文本条目,选择要上传的文件,然后点击提交。指定的动作是/cgi-bin下的submit.py CGI脚本,记录提交信息并保存文件,完美执行。
我唯一担心的是任何表单(显然),如果他们为<form>
action 属性指定正确的 URL,似乎能够将他们的表单链接到我的 CGI 脚本。这意味着他们可以在自己的页面上写下以下内容:
<form action="http://my-site.com/cgi-bin/submit.py">
<!-- blah blah blah -->
</form>
并且数据将被发送到我的 CGI 表单并进行处理(不良行为)。
我的问题是:有没有办法根据发送数据的 HTML 表单来限制脚本的执行?我错过了一些非常明显的东西吗?
我在网上搜索并发现了一个与 CSRF 稍微相关的问题,但如果除了令牌身份验证之外还有其他方法可以防止未经授权使用 CGI 脚本,我很想听听。