防止PHP中的csrf

为了防止CSRF,您需要验证一次性令牌,POST并与当前会话相关联.像下面这样的东西...

在用户请求删除记录的页面上:

confirm.php

 
Do you really want to delete?

然后,当涉及到实际删除记录时:

confirm_save.php

令牌难以猜测,每个删除请求都是唯一的,仅通过$ _POST接受,并在几分钟后过期(此示例中未显示过期).

1> leepowers..：

---

为了防止CSRF,您需要验证一次性令牌,POST并与当前会话相关联.像下面这样的东西...

在用户请求删除记录的页面上:

confirm.php

 
Do you really want to delete?

然后,当涉及到实际删除记录时:

confirm_save.php

令牌难以猜测,每个删除请求都是唯一的,仅通过$ _POST接受,并在几分钟后过期(此示例中未显示过期).

---

根据http://php.net/manual/en/function.uniqid.php,`uniqid()不得用于安全目的.使用加密安全随机函数/生成器和加密安全散列函数来创建不可预测的安全ID.`

---

当您在不同的选项卡中打开同一网页时，这是一个问题。由于在每个选项卡中都会再次生成随机值，因此用户必须坚持使用其当前选项卡。