通常用php处理注销哈希的方式是什么?
在许多站点上,通常会使用注销哈希值来确认要注销的用户是正确的用户,通常如何处理?
例子
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5 是哈希
只是我的研究更新,以便其他人可以看到它是如何工作的。
我发现这种攻击主要用于xero-byte图片和iframe。
如果您登录了SITE A并且还浏览了SITE B,则SITE B可以放置图片标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
并且由于该请求实际上来自合法的登录用户,因此该请求得到了处理。
通过将验证值添加到重要形式(例如转账帐户,注销等)中,黑客无法获取该值,因此将无法执行该请求!
谢谢你的帮助
最佳答案
这是Stop CSRF。该值是“csrf token ”,它是存储为 session 变量的加密随机数(随机数)。进行检查以确保该请求源自同一站点,而不是来自攻击者的站点。