[請益] CSRF問題

作者asshole88 (愛嘶猴)

看板PHP

標題[請益] CSRF問題

時間Fri Feb 6 00:00:16 2015

各位好~ 小魯最近在設計某機關的網頁後，經過漏洞檢測軟體掃瞄出現了幾個HTML form without CSRF protection的警告雖然風險程度不高，但是不知道要如何解決呢? 還是如何說服客戶呢?? 謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.54.199 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1423152019.A.28F.html

推 LPH66: http://ppt.cc/DDB8 02/06 00:25

→ gname: 如果只是要過機器檢測的話,塞個簡單的 token 可以解決 02/06 12:49

→ asshole88: 請問如何比對server與client端token比較安全正確?? 02/07 00:33

→ MOONRAKER: 原則上只要每次出form的時候生一個token，同時放在sess 02/07 12:20

→ MOONRAKER: 裡面，等form post回來的時候看兩者是否相符就可以了 02/07 12:20

→ MOONRAKER: 或者很多framework都有提供自動機制 02/07 12:21

→ asshole88: 謝謝~ 已順利解決 02/11 16:29