在 php 中通常如何处理注销哈希值?
在很多网站上通常有注销哈希值来确认注销的用户是正确的用户,这通常是如何处理的?
例子
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5 是散列
只是我研究的更新,以便其他人可以看到它是如何工作的。
我发现这种类型的攻击主要用于 xero-byte 图像和 iframe。
如果您登录到站点 A 并且还浏览站点 B,则站点 B 可以放置一个图像标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
并且因为请求实际上来自合法登录用户,所以请求被处理。
通过在重要表单中添加验证值,如转账、注销等,黑客无法获取该值,因此请求不会被执行!
谢谢你的帮助
最佳答案
这是给Stop CSRF .该值是一个“csrf token ”,它是作为 session 变量存储的加密随机数(随机数)。检查以确保请求来自同一站点,而不是从攻击者的站点伪造的。
关于php - 注销哈希,它们是如何处理的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3570791/