对POST请求是否都进行csrf防护呢?最近在考虑网站安全性的问题
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
3
473
收藏
如果不是写API接口,建议都加上csrf,防止非本站表单直接提交(俗称“PO 接口”)
每个url后面都加上token,CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
不管是get或者post请求,还是任何请求方式,都要做好网站安全防护的机制。现在的post已经不安全了。
从路由最开始做好过滤,添加网站白名单、数据过滤等,做好这些之后再把可信数据放进来。
如果有https还行,没有https就做好过滤吧。