防止从远程站点进行 POST

Question

我只是想知道你如何防止人们试图欺骗你的脚本和内容从远程站点发布类似的表单。例如尝试&将额外的值放入您没有的选定字段或类似性质的字段中。

Answer 1

最好的想法是创建一个根据用户代理、IP 和时间范围生成的 md5 密钥。然后将其存储在数据库中并将其填充到隐藏文本字段中，以便在提交时您可以重新验证该值。

您还可以使用 $_SERVER['HTTP_REFERER'] 获取请求的来源，并根据您网站的 URL 对其进行验证。请记住，这是由用户网络浏览器设置的，因此可能会被欺骗。以下是可用的 $_SERVER 变量及其描述的列表。
http://www.php.net/manual/en/reserved.variables .server.php

Answer 2

为了防止跨站请求伪造 (CSRF)，您应该使用所谓的 CSRF 令牌验证请求的真实性。此外，您可以检查 HTTP Referer，并且仅在其为空（不存在）或您的​​地址之一时才允许交易。

另请参阅OWASP 的跨站请求伪造 (CSRF) 预防备忘单 了解更多信息。