如何验证从同一服务器提交的表单而不使用 HTTP_REFERER？

Question

我的网站上有此表单，我想阻止用户从本地副本提交表单。或从其他域提交表单（跨站点脚本）。

HTTP_REFERER 不被信任，因为它很容易被伪造。

我有想法通过在提交信息之前调用服务器来验证表单的提交位置。但我不太确定这是否是个好主意。 感谢 伊兰科

Answer 1

这称为 CSRF，通常通过隐藏输入来解决在表格内。所述输入的值在服务器端分配并存储在会话中。表单提交后，将对这两个值进行比较，并且仅当它们相等时才继续提交表单。