csrf的保護

Question

我試圖使用表單密鑰方法csrf protection這裏http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/。但它僅適用於頁面上的一個表格。我的問題是

假設我有一個形式

<form action="action.php" method="post"> 
<!-- code here --> 
</form> 

和我的PHP我使用

<?php 
if(isset($_POST['submit']) && isset($_SESSION['user'])) 
{ 
//do something 
} 

我已經使用session user確認他是否已登錄並和形式由我的網站提交，因爲會議已在我的網站上進行。我是否也必須使用csrf保護方法？

Answer 1

我是否也必須使用csrf保護方法呢？

是的，因爲這正是爲什麼CSRF是危險的;當他們在另一個網站上提交修改後的表單時，「受害者」的cookie會在不知情的情況下發送給服務器，以便代表「黑客」執行特定操作，例如，由可愛的小貓照片僞裝（例如）。

當提交變相形式時，您的站點無法區分請求和合法請求，因爲身份驗證是有效的。添加CSRF令牌可確保表單是從網站上的頁面提交的。

創建會話時，您還會生成一個CSRF令牌。此令牌隨後將用於會話期間您網站上的所有表單;這樣做可以防止同時打開多個選項卡的問題。

即使表單從您的頁面複製（包括CSRF令牌），該令牌也將存儲在不屬於經過驗證的用戶的會話中。