6
A
回答
8
这听起来像你试图实现跨站请求伪造保护,其中您需要确保请求源自您的Web服务器提供的HTML。不要依赖引用头,因为它经常在防火墙中被剥离,并且可以被操纵。
有关如何实施此类保护的一些好消息,请参阅OWASP。基本上,它是这样的:
生成安全的随机值,并把它贴在用户的会话
对于每一个HTML表单,包括此值作为隐藏的价值()
每当POST请求会返回到您的服务器,请检查隐藏字段中的值是否与用户会话中的值相同。如果不是,请拒绝该请求。
因为ALUE是每个用户唯一的,攻击者不能简单地加强与预填充值的形式,并诱骗用户使用JavaScript自动张贴。该请求将被拒绝,因为攻击者不知道伪造形式中的隐藏域包含哪个值。
1
你想$_SERVER["REMOTE_ADDR"]
。
1
我认为你需要阅读:
http://www.cyberciti.biz/faq/how-to-determine-retrieve-visitors-ip-address-use-php-code-programming/
+0
非常感谢。这真的有帮助! “ – Anant
3
相关问题
- 1. POST请求 - 跨来源请求阻止
- 2. POST请求不起作用
- 3. 挂起文件上传的POST请求
- 4. Heroku的POST请求不起作用
- 5. Asp.net的WebAPI POST请求不起作用
- 6. 对ServiceStack挂起的PUT/POST请求
- 7. IBM MobileFirst Foundation 8.0 POST资源请求在JavaScript中不起作用
- 8. 检查挂起的AJAX请求或HTTP GET/POST请求
- 9. 更改HTTP POST请求HTTPS POST请求:
- 10. getByName POST POST请求
- 11. 跨源起源请求方法
- 12. 蟒蛇请求POST请求
- 13. Angularjs POST请求使用$资源API
- 14. Http post请求不起作用
- 15. Python请求POST不起作用
- 16. Http_Request2 POST请求不起作用
- 17. node.js发送POST请求不起作用
- 18. Ajax POST请求不起作用
- 19. Python:发送POST请求不起作用
- 20. AJAX请求不起作用(POST)
- 21. Ajax post请求调用不起作用
- 22. Ajax POST请求不起作用
- 23. curl POST请求不起作用
- 24. 执行okhttp POST请求此起彼伏
- 25. POST请求根本不起作用android
- 26. Scrapy POST请求不起作用 - 400错误请求
- 27. POST请求。 Android的
- 28. Angularjs的POST请求
- 29. QT5的POST请求
- 30. wrk的POST请求?
您是否在寻找推荐人?用户来自哪个页面? –
你真的是指“源自我的网站”,还是你的意思是“源自从我的网站发送到浏览器的页面上的表单”?他们是完全不同的东西。 –
不要依赖引用标头。它不能被信任,并且经常在防火墙中被剥夺,从而泄露有关内部系统的信息。 – Erlend