作者gpmm (银色)
看板PHP
标题Re: [请益] 如何判断表单提交来源是从本站传送的?
时间Wed Oct 26 21:47:40 2016
※ 引述《red0whale (red whale)》之铭言:
: 如题,
: 我知道能用HTTP_REFERER来判断上一页表单是否为从本站发送的
: 但其实这样并不是最好的
: 因为使用者一样能用cURL来提交一个假的HTTP_REFERER来骗过PHP
: 所以有没有一个最好的方法来判断表单是否为从本站发送的?
如果你追求的是「完全的要求表单由本站发送」,这种东西本质上是不可能的。
因为 HTTP 本身是 stateless,资讯是在「主机」和「浏览器端」互相来回传递,
每一个 request / response 都只是「包含了资讯的单向传递」。
你什麽时後有了「表单是从本站发送」的幻觉? XD
表单永远都是从你的 borwser 送出的,那是你的电脑 / 浏览器,
和哪个网站一点关系都没有。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.226.146.72
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1477489662.A.F7E.html
1F:推 yanli2: 原文删掉了 应该是原原PO找到了解决方案 10/28 16:13
2F:→ tkdmaf: 也有可能是恼羞成怒所以删了。 10/28 16:37
3F:→ imhaha: 因为这篇也没解决到问题 他生气了XD 10/28 16:49
4F:推 rockmanalpha: 比较简单的做法就是产生一个token放在session内 10/28 18:07
5F:→ rockmanalpha: 页面塞一个input field塞那个token一起提交 到後端 10/28 18:08
6F:→ rockmanalpha: 跟session比对 不过这也无法完全防止伪装 10/28 18:09
7F:→ tkdmaf: 我觉得大家都不用再提了……反正都被说成答非所问了。 10/28 18:48
8F:推 GALINE: 我是觉得也不用说成这种程度...毕竟这是个满大的需要 10/28 18:52
9F:→ GALINE: 只是它真的没有银子弹可以解... 10/28 18:53
10F:→ xxxzzz: 看到HTTP_REFERER了,还能回这篇内容,也真令人匪夷所思 10/29 00:24
11F:推 spfy: 其实原原PO自我风格很强烈阿...不是他要的都不是解答 10/29 11:56
12F:→ xdraculax: 为何有 HTTP_REFERER 就不能回这篇? 10/29 12:34
13F:推 Peruheru: 因为那就表示已经知道请求跟伺服器无关了 10/29 13:06
14F:→ Peruheru: 或是反过来说,就是不知道HTTP_REFERER的意义才会提问 10/29 13:08
15F:→ Peruheru: 知道那东西能用,却不知道那东西代表得意义 10/29 13:08
16F:→ Peruheru: 我猜啦 10/29 13:09
17F:→ tkdmaf: 我只能说,没看过最原始po文的人的内容,就别瞎猜了。 10/29 13:27
18F:→ tkdmaf: 总之他那句不要「答非所问」,才是最让人感冒的。 10/29 13:27
19F:→ tkdmaf: 其他你们想过的方法,那篇的推文都有提到过。 10/29 13:28
20F:→ tkdmaf: 而且我最不爽的,就是问题解就删问题的人。(不管有没解) 10/29 13:29
21F:→ tkdmaf: 如果最後要删问题,不如一开始就别问。 10/29 13:29
22F:→ tkdmaf: 删问题这一点,我倒希望版主纳入考虑一下。 10/29 13:30
23F:推 Peruheru: 我看过阿,我还有推到文,应该可以猜一下XD 10/29 21:44
24F:推 kyleJ: 原原PO知道HTTP_REFERER 却不知道HTTP怎麽运作的… 10/30 11:11
25F:推 fashionjack: 他们没经过网页就直接丢进MySQL,网页要如何防? 10/31 08:12
26F:→ fashionjack: input filed加隐藏参数我用过,识别码用过,皆无效。 10/31 08:15
27F:推 rickysu: 这些问题得透过各种不同的方式来处理 11/01 09:04
28F:→ rickysu: 单纯避免被Cross Site透过Referer以及Origin就可以阻挡 11/01 09:05
29F:→ rickysu: 如果要阻挡使用Curl直接送出请求,那就得透过 CSRF token 11/01 09:06
30F:→ rickysu: 或是 Captcha 11/01 09:07
31F:→ rickysu: 如果想要避免对方短时间送出大量请求,除了 Captcha 11/01 09:07
32F:→ rickysu: 还可以使用工作量证明,藉由让Client耗费大量资源,避免 11/01 09:09
33F:→ rickysu: 被灌爆,让对方知道他要攻击你得付出比你更多的代价。 11/01 09:09