Formlarını güvenliğini sağlamak için, zaman belirteci, do?

1 Cevap php

Yani, ben biraz daha güvenli yapmak ve potansiyel olarak ben bu değer de benim oturum veri sunucu tarafında saklanan gizli bir alanda rastgele bir belirteç değeri eklemek istediğiniz CSRF saldırıları önlemek için, bir form var.

Ne zaman yeni bir belirteç sorunu gerekir? Form başına? Sayfa başına yükü nereye herhangi bir formu var mı? Seans başına? Ben en kısa sürede form başarıyla teslim olarak geçersiz kılmak-ama bir oluşturmak için zaman ben merak ediyorum.

Ben bir kullanıcı için ayrı bir pencere açar ama (şimdi yazılır değeri ile) ilk formu göndererek eğer mevcut (geçerli) belirteci yazılmadan yinelenen bir belirteç değerinin şans risk yok form başına veya sayfa başına da sorunu sanki ben sorabilir miyim?

1 Cevap

Eşzamanlılık sorunları önlemek için basit yolu sadece bir kez oturum başına onu üretmektir. "Tahmin" Bir saldırganın şans CSRF onları PHPSESSID çalmak gibi aynı şans (veya daha düşük) ilgili. Böyle sonrası gibi kullanıcının erişim seviyesi değişimleri, onların şifresini falan değiştirdiğinizde siz de yeniden olabilir.

Eğer gerçekten titiz olmak istiyorsanız, üretmek ve jetonları, web sitesinde her bir form için tek bir dizi saklayabilirsiniz. Onlar CSRF belirteci çalmak Ama eğer, onlar da sadece bir oturum kimliği çalıntı ve bazı gerçek zarar yapmış olabilir.

etiketler