0
我在我的php頁面中有一個表單。在這個頁面中,我打開一個窗口彈出窗口。在這個彈出窗口中有一些字段。我們填寫表格並提交。提交表單後,我們會向用戶發送郵件。基本上這是一種用戶可以通過發送郵件給他的朋友提供網站參考的形式。 不幸的是有人攻擊我的網站,並使用我的PHP腳本發送郵件。 所以,我想限制從外部服務器訪問php腳本。 我應該怎麼做才能限制訪問。 我試過一些選項,但沒有得到成功。阻止發佈來自不同域的數據PHP
A
回答
1
有兩種方法可以減輕這一點,完全停止這是不可能的。
使用HTTP引用:
$referer = parse_url($_SERVER['HTTP_REFERER']);
$allowedDomain = 'yourdomain.com';
if ($referer['host'] == $allowedDomain){
//Process your mail script here.
}
請注意,你不能相信HTTP_REFERER值。它很容易被欺騙。
使用令牌:
生成隨機令牌,並把它放在你的表單POST內,如:
if (!isset($_POST['submit'])){
$_SESSION['random_code'] = rand(0, 1000000);
}else{
if ($_POST['random_code'] == $_SESSION['random_code']){
//process your mail script here
//reissue session code
$_SESSION['random_code'] = rand(0, 1000000);
}
}
<input type='hidden' name="random_code" value="<?php echo $_SESSION['random_code'];?>">
保存此隨機碼在您的會話。當提交表單時,將提交的random_code值與會話中保存的代碼進行匹配。如果兩者都相同,則處理您的郵件腳本。
這樣,攻擊者必須先打開你的頁面,獲取隨機代碼,然後提交你的表單。它不會阻止這種攻擊,但它肯定會減慢他的進程。
相關問題
- 1. 來自域的阻止請求
- 2. php mail()不發送來自不同域的郵件
- 3. CodeIgniter來自發布數據不經過
- 4. 流星被動地發佈來自不同收藏的數據
- 5. 發佈到不同的域
- 6. RecognizerIntent.ACTION_RECOGNIZE_SPEECH阻止當自來水發生
- 7. 來自VBscript的發佈數據
- 8. 來自輸入的發佈數據
- 9. 如何根據發佈數據阻止請求?
- 10. 如何阻止數據自動插入到數據庫中php
- 11. 在電子郵件中發佈來自PHP表單的數據
- 12. 你能發佈來自PHP的數據嗎
- 13. 發送數據到不同的域
- 14. Cakephp來自兩個不同位置/域的兩個數據庫
- 15. Can DataAnnotation是否可以阻止用戶發佈數據庫中不存在的表單域?
- 16. Android數據綁定包含來自不同模塊的佈局
- 17. PHP $ _SESSION來自不同域的回憶(但位於同一個域)
- 18. 如何發送來自SoapServer函數的發佈數據
- 19. 來自兩個不同來源的數據的JSF數據表
- 20. 來自不同域的mysql連接
- 21. ASP.NET訪問來自不同域的Cookie
- 22. 來自不同域的javascript調用url
- 23. 使用Snort阻止數據包的不同類型的選項
- 24. 選擇來自不同行的數據
- 25. 如何阻止來自同一IP的多個請求
- 26. 獲得來自陣列不同的數據在PHP
- 27. PHP/MySQL - 比較來自2個不同數據庫的表格
- 28. 使用來自同一服務器內不同域的兩個數據庫
- 29. 阻止ActionResult發佈到新頁面?
- 30. 如何阻止物品發佈?
如果沒有顯示您當前如何發送郵件的代碼,我們無法多說。另外,它是脆弱的代碼,還是你在服務器上用於郵件的任何東西?簡單地通過帖子標題,CSRF令牌將有所幫助。 –
我不認爲如果你能做些什麼,因爲你的功能是基於發送電子郵件!也許你可以通過他們的IP來限制用戶(不是100%安全),但是可能會減慢使用腳本的人! – Soheyl
您需要爲每個發佈請求添加csrf標記以防止跨域請求。按照此更多信息http://stackoverflow.com/a/31683058/4584028 –