0

我有一个网站,由 MODx 提供支持,以表格为中心。使用表格访问网页仅限注册会员(由 MODx 处理)。用户填写一些文本条目,选择要上传的文件,然后点击提交。指定的动作是/cgi-bin下的submit.py CGI脚本,记录提交信息并保存文件,完美执行。

我唯一担心的是任何表单(显然),如果他们为<form>action 属性指定正确的 URL,似乎能够将他们的表单链接到我的 CGI 脚本。这意味着他们可以在自己的页面上写下以下内容:

<form action="http://my-site.com/cgi-bin/submit.py">
    <!-- blah blah blah -->
</form>

并且数据将被发送到我的 CGI 表单并进行处理(不良行为)。

我的问题是:有没有办法根据发送数据的 HTML 表单来限制脚本的执行?我错过了一些非常明显的东西吗?

我在网上搜索并发现了一个与 CSRF 稍微相关的问题,但如果除了令牌身份验证之外还有其他方法可以防止未经授权使用 CGI 脚本,我很想听听。

4

1 回答 1

1

您可以制作一个必须与您的表单一起发送的一次性令牌,以确保它是有效的(这就是您提到的)。

虽然这也可以被抓取和发送。

检查推荐人没有用,因为它很容易被欺骗或不存在(一些代理过滤它)。

简而言之,如果不使用令牌来缓解它,你就有麻烦了。除了网络上的其他人都有这个问题:)

于 2010-12-01T23:57:16.803 回答