本文共 513 字，大约阅读时间需要 1 分钟。

使用表单提交数据到服务器是日常的程序行为,可很多同行并没有对伪数据跨站请求采取措施.

这里要谈的是服务器端跨站请求而不是JS脚本跨站攻击.相对而言,JS脚本跨站造成的危害会更大,防范措施类似SQL防注入.

现在要讲的是CSRF.

CSRF是什么呢?是指从我们的表单之外的其它地方伪造数据提交到处理程序的行为.

欺诈者经常使用这种方法提交垃圾数据,这些数据不但惹人生厌,而且很可能对站点造成破坏.

防范措施

我们可以随机生成一个乱数并将他储存到会话,然后让这个数字串随表单一起提交到服务器.

如果通过$_POST提交过来的乱数与$_SESSION的乱数一致,我们完全有理由认为这个提交是合法的.

在初始化时应该创建它:

session_start();if(!isset($_SESSION['token'])) {	$_SESSION['token'] = sha1(uniqid(mt_rand(), TRUE));}

if(isset($_POST['submit']) && $_POST['token'] == $_SESSION['token']) {

转载地址：http://rqwvb.baihongyu.com/