如何检查是否使用 cURL 执行了 post

Question

简单的问题：如何检测发布到我的网站的表单数据是否是通过 cURL 完成的，而不是通过网站的表单页面完成的。

（例如）用户运行 curl -H"Host: http://mysite" POST "post data" http://mysite 适用于网站中的任何形式。

由于可以设置引用者和用户代理，因此我认为它们不符合过滤条件。欢迎任何建议或解决方案。

谢谢&干杯！！

Answer 1

我不确定您的安全问题是什么，因为您没有告诉我们。就 Web 服务器而言，cURL 实际上只是另一个 Web 浏览器；它只是碰巧是由命令行参数而不是鼠标控制的。

也许您担心保护自己免受跨站点请求伪造并且应该看看 OWASP CSRF 预防备忘单

Answer 2

将令牌添加到动态生成的表单并将其存储在用户会话中。当用户提交表单时，检查表单中的令牌是否与会话中的令牌匹配。每次呈现表单时，该标记都应该更改。这将允许该表格仅提交一次。

如果用户提交带有过时令牌的表单，只需让他们再次重新发布该表单，并显示一条错误消息，说明该表单已过时，他们需要再次重复该操作。

Curl 可以模拟浏览器，因此不会 100% 有效，但这涵盖了大多数情况。

您还可以使用 JavaScript 填充此标记字段，因为curl 不会执行它。

Answer 3

我想需要检查一下表单提交按钮是否被触发。