开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

PHP安全使用POST而不是GET来防范XSRF？

PHP安全使用POST而不是GET来防范XSRF的原因是，GET请求的参数会以明文形式出现在URL中，容易被恶意攻击者获取和篡改。而POST请求的参数则是通过请求体传输，相对安全一些。

XSRF（跨站请求伪造）是一种常见的网络攻击方式，攻击者通过诱使用户点击恶意链接或访问恶意网站，利用用户在其他网站上的登录状态，伪造用户的请求发送到目标网站，从而执行恶意操作。为了防范XSRF攻击，可以采取以下措施：

使用POST请求：将敏感操作（如修改、删除等）使用POST请求发送，而不是GET请求。因为GET请求的参数会出现在URL中，容易被攻击者获取和篡改。而POST请求的参数则是通过请求体传输，相对安全一些。
添加CSRF令牌：在表单中添加一个CSRF令牌（也称为防跨站请求伪造令牌），该令牌是一个随机生成的字符串，与用户会话相关联。在提交表单时，服务器会验证该令牌的有效性，如果令牌无效，则拒绝请求。这样可以确保请求是由合法的用户发起的，而不是恶意攻击者。
设置SameSite属性：在设置Cookie时，可以将SameSite属性设置为Strict或Lax。这样可以限制Cookie只能在同一站点的请求中发送，防止跨站点的请求伪造。
使用验证码：对于一些敏感操作，可以要求用户输入验证码，以增加安全性。验证码可以有效地防止自动化攻击和恶意机器人。

总结起来，通过使用POST请求、添加CSRF令牌、设置SameSite属性和使用验证码等措施，可以有效地防范XSRF攻击。在腾讯云中，可以使用腾讯云Web应用防火墙（WAF）来提供全面的Web应用安全防护，包括XSRF攻击的防范。具体产品介绍和相关链接请参考腾讯云Web应用防火墙的官方文档：https://cloud.tencent.com/product/waf

相关搜索:Django httpresponse正在使用get而不是post PHP -如何使用php curl发送post请求，而不是表单提交，然后重定向页面？PHP file_get_contents有时会发送GET而不是POST PHP GET，使用URL友好而不是from ID？REsfull应用编程接口-使用get请求而不是post请求发送数据-有什么(安全)风险？为什么savon client.call使用带有有效负载的GET请求而不是POST？为什么我应该使用$ _GET和$ _POST而不是$ _REQUEST？为什么我的POST请求在使用cURL的PHP中超时，而不是在Postman中？什么时候应该使用POST方法而不是GET方法来从表单提交数据？何时以及为什么要使用$ _REQUEST而不是$ _GET/$ _POST/$ _COOKIE？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

程序猿必读-防范CSRF跨站请求伪造

通过伪装可信用户的请求来利用信任该用户的网站，这种攻击方式虽然不是很流行，但是却难以防范，其危害也不比其他安全漏洞小。...但是事实上并不是如此，很多网站在开发的时候，研发人员错误的认为GET/POST的使用区别仅仅是在于发送请求的数据是在Body中还是在请求地址中，以及请求内容的大小不同。...POST请求利用相对于GET方式的利用，POST方式的利用更加复杂一些，难度也大了一些。攻击者需要伪造一个能够自动提交的表单来发送POST请求。...php if ($_POST['token'] !...解析Laravel框架中的VerifyCsrfToken中间件在Laravel框架中，使用了VerifyCsrfToken这个中间件来防范CSRF攻击。

2.4K2 0

PHP的安全性问题，你能说得上几个？

具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL.../DB.class.php"); $db = new DB(); echo $_POST["test"]; 若用IE浏览器打开test页面：因为IE没有过滤方法，会弹出弹窗，而像谷歌、火狐、360等浏览器会屏蔽掉...XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。例如：这样请求这个页面，也会将数据库中数据改掉：而如果改成POST方式，可以减少这种情况，也可以在表单中用隐藏域多提交一条数据，例如： <?

7891 0

XSRF 的攻击与防范

XSS利用站点内的信任用户，而XSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...上面的攻击方式都有一个共同点，就是系统接受GET请求。现在我们深入一步，使用POST。...XSRF通常还会和XSS结合来进行更高级的攻击，甚至可以创建在网站上自动传播的蠕虫病毒，而采用的技术却非常简单。这部分攻击技术比较复杂，不在这里讨论。...防范XSRF的核心思想就是用一个黑客得不到的变量来做二次认证，比如让用户登录，黑客是不能轻易拿到别人的用户名密码的。...GET方法只用于读取和显示数据，所有的需要向服务器提交数据或修改数据的请求一律使用POST方法。使用POST方法不能防范XSRF，但是会提高攻击的门槛。

1.1K2 0

beego如何做到XSRF防护

跨站请求伪造(Cross-site request forgery)，简称为 XSRF，是 Web 应用中常见的一个安全问题。前面的链接也详细讲述了 XSRF 攻击的实现方式。...当前防范 XSRF 的一种通用的方法，是对每一个用户都记录一个无法预知的 cookie 数据，然后要求所有提交的请求（POST/PUT/DELETE）中都必须带有这个 cookie 数据。...Beego 有内建的 XSRF 的防范机制，要使用此机制，你需要在应用配置文件中加上 enablexsrf 设定： enablexsrf = true xsrfkey = 61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o...下面是在 AJAX 的 POST 请求，使用了 jQuery 函数来为所有请求组东添加 _xsrf 值： function getCookie(name) { var r = document.cookie.match...例如你需要使用一个不支持 cookie 的 API，你可以通过将 CheckXsrfCookie() 函数设空来禁用 XSRF 保护机制。

1.5K8 0

XSS、CSRFXSRF、CORS介绍「建议收藏」

XSS、CSRF/XSRF、CORS介绍 1 XSS 1.1 名词解释 1.2 作用原理 1.3 防范措施 2 CSRF/XSRF 2.1 名词解释 2.2 作用原理 2.3 防范措施 2.3.1 验证码...一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF，即：Cross Site Request Forgery，中译是跨站请求伪造。...对于发布帖子这一类创建资源的操作，应该只接受 POST 请求，而 GET 请求应该只浏览而不改变服务器端资源。...当然，最理想的做法是使用REST风格的API接口设计，GET、POST、PUT、DELETE 四种请求方法对应资源的读取、创建、修改、删除。...也可以使用隐藏域指定请求方法，然后用POST模拟PUT和DELETE（Ruby on Rails 的做法）。这么一来，不同的资源操作区分的非常清楚。

1K2 0

.NET Core实战项目之CMS 第十四章开发篇-防止跨站请求伪造（XSRFCSRF）攻击处理

XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。 CSRF在 2007 年的时候曾被列为互联网 20 大安全隐患之一。...警告： ASP.NET Core使用 ASP.NET Core data protection stack 来实现防请求伪造。...默认情况下生成防伪令牌，当然窗体的方法不是 GET。... 通过使用标签帮助器! 禁用语法，从标签帮助器转化为表单元素。 ... </!

3.9K2 0

Web安全的三个攻防姿势

尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...原因是银行网站A违反了HTTP规范，使用GET请求更新资源。...$REQUEST去获取请求的数据，而$REQUEST既可以获取GET请求的数据，也可以获取POST请求的数据，这就造成了在后台处理程序无法区分这到底是GET请求的数据还是POST请求的数据。...在PHP中，可以使用$GET和$_POST分别获取GET请求和POST请求的数据。在JAVA中，用于获取请求数据request一样存在不能区分GET请求数据和POST数据的问题。...总结一下上面3个例子，CSRF主要的攻击模式基本上是以上的3种，其中以第1,2种最为严重，因为触发条件很简单，一个就可以了，而第3种比较麻烦，需要使用JavaScript，所以使用的机会会比前面的少很多

5613 1

Python从入门到摔门（6）：Python Web服务器Tornado使用小结

虽然曾经也读过它的源码，并做过一些小的 demo，但毕竟这是第一次在工作中使用，难免又发现了一些值得分享的东西首先想说的是它的安全性，这方面确实能让我感受到它的良苦用心。...这主要可以分为两点：一、防范跨站伪造请求（Cross-site request forgery，简称 CSRF 或 XSRF） CSRF 的意思简单来说就是，攻击者伪造真实用户来发送请求。...要防范上述攻击很简单，不允许通过 GET 请求来执行更改操作（例如转账）即可。...前面提到的 CSRF 和 XSS 都是攻击者在用户不知情的情况下，冒用他的名义来进行操作；而伪造 cookie 则是攻击者自己主动伪造其他用户来进行操作。...（话说这答案看得我各种佩服啊，搞安全的专家果然不是我那么肤浅的…）三、接着是继承 tornado.web.RequestHandler。

1.1K2 0

laravel的csrf token 的了解及使用

CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。...在浏览器发出 GET 或 POST 请求的时候，它会带上 you.com 的 cookie，如果网站没有做 CSRF 防御措施，那么这次请求在 you.com 看来会是完全合法的，这样就会对 you.com...3.第三方恶意网站也是可以构造post请求并提交至被攻击网站的，所以POST方式提交只是提高了攻击的门槛而已，无法防范CSRF攻击，所以对post也要进行防范关于csrf更多的请参考 https://...cookie方法就不用在每个页面都加入这个input 的 hidden 标签还可以部分使用csrf检测部分不使用。.../6742.html 下面说说我们那个项目中的关于csrf token的使用：在我的另一篇文章中也提到了我们那个项目中的使用过程在中间件VerifyCsrfToken.php中修改内容为： 1 protected

3.8K2 0

laravel报错：TokenMismatchException in VerifyCsrfToken.php line 68:

csrf防护： CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF...尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。 csrf详解解决方式：（1）csrf防护只有在web.php文件中有效。...php echo csrf_token(); ?>"> (4)如果进行ajax的post请求的时候并没有提交form，表单，此时我们可以通过在meta中写入一些属性来金星csrf防护。...function handle($request, Closure $next) { // 使用CSRF return parent::handle($request, $next)

5292 0

小白必学篇：CSRF漏洞总结

这里伪造URL，根据上图： http://192.168.0.101/guixianren/pikachu-master/vul/csrf/csrfget/csrf_get_edit.php?...别打瞌睡，到POST型，同样操作，修改个人信息，抓包。 ? GET型可以伪造URL，但是POST型不一样，它不能伪造URL，那该怎么办呢？我们可以伪造一个自动提交表单的页面。...（http://192.168.0.101/post.html） ? 接着会自动跳转到这个页面。 ? 可以看到，这里的个人信息已经被修改，可是却不是受害者本人修改的，到这里已经达到我的目的了。...如何防范CSRF漏洞 (1) 尽可能使用POST方式； (2) 设置验证码，能够很好遏制CSRF攻击，但是增加验证码降低了用户的体验，所以网站不可能给所有的操作都加上验证码，所以只能将验证码作为一种辅助的手段...（不靠谱的原因是服务器并不是随时都能获得Referer，只能监控是否发生，并且不能防范统一域上的CSRF攻击） (4) 加入Anti-CSRF-Token，也就是发送请求时在HTTP请求中以参数的形式加入一个随机产生的

2K3 1

实例分析10个PHP常见安全问题

如果你想提高你的网站安全性的话，你应该继续通过阅读书籍或者文章，来研究如何提高你的网站安全性出于演示需要，代码可能不是很完美。日常开发过程中，很多代码都包含在了框架跟各种库里面。...GET 和 POST 发送的查询（或者例如 UA 的一些其他查询）。...虽然此处展示的例子是 GET 请求，但只是相较于 POST 更容易理解，并非防护手段，两者都不是私密的 Cookies 或者多步表单。假如你有一个允许用户删除账户的页面，如下所示： <?...以下使用 MD5 来做例子，所以请千万不要使用 MD5 来哈希你的密码， MD5 是不安全的。...我们要尽量让他花大精力来破解你的密码，所以我们对数据进行加盐处理： <?php //warning: !!这是一个很不安全的密码哈希例子，请不要使用!!

1K3 1

知乎某处XSS+刷粉超详细漏洞技术分析

那么，这个漏洞岂不是上不了主页了？...这种解决方法其实比较常见，因为在没有xss的情况下，黑客无法获取到cookie中的_xsrf，不在同一个域，也无法获取表单中的_xsrf。二者都无法获取到，所以保证了表单的安全。...对比起来，我们看到php是怎么处理同名cookie的： <?php echo $_COOKIE['_xsrf']; ? 获取的是前者。这也是php的一个特性，二者的区别，我不再从源码上分析了。...回到知乎的这个问题，因为知乎获取的_xsrf是后者。而恰好，我们利用XSS设置的cookie，将是所有cookie里最后一个。...覆盖_xsrf进行刷粉理论讲完了，我来理一下思路：利用link.zhihu.com的xss，设置cookie: _xsrf=aaaaaa; domain=.zhihu.com 设置表单中的_xsrf

9411 0

ASP.NET Core XSRFCSRF攻击

跨站请求伪造也被称为 XSRF 或 CSRF 我们可以理解为攻击者利用你的名义向Web应用程序发送请求来完成它想要达到的目的 1 XSRF/CSRF 攻击的一个例子： (1) 用户登录 www.good-banking-site.example.com.../> 注意，表单的提交是向受信任的站点提交，而不是向恶意站点提交，这是 XSRF/CSRF中所描述的 "跨站" (4) 用户选择提交按钮，浏览器发起请求并自动包含请求域的身份验证cookie...2 阻止XSRF/CSRF Asp.Net Core 中使用Antiforgery中间件来防御XSRF/CSRF攻击，当我们在启动项中调用如下API时会自动将该中间件添加到应用程序 AddControllersWithViews...-- ... --> (2) 不使用FormTagHelper表单 </!...return RedirectToAction(); } 也可以使用AutoValidateAntiforgeryToken，该特性不会验证下列请求 GET，HEAD，OPTIONS，TRACE，它可以在应用程序中作为全局过滤器来触发防伪

1701 0

【Pikachu】CSRF（跨站请求伪造）

/csrf_get_edit.php?...192.168.0.108/POC/CSRF_PoC.html image.png CSRF Token Token是如何防止CSRF/XSRF漏洞的？...发现每次传输，参数都有携带一个Token（这就就是用于校验身份的） token=593295f2b3cd0bebc3433489026 GET /pikachu/vul/csrf/csrftoken/token_get_edit.php.../pikachu/vul/csrf/csrftoken/token_get_edit.php?...--访问控制安全管理：二次验证，尽量用POST传参；referer进行判断来源。

5403 1

对于跨站伪造请求（CSRF）的理解和总结

进阶攻击危险网站可以伪造一个表单并隐藏，并在自己网站的onload事件中，触发这个表单的提交事件，就可以改GET攻击为POST攻击 CSRF攻击的对象与防范思路我们要防范它，先要知道它的目标，然后设法保护这些目标...而保护的关键，是在请求中放入黑客所不能伪造的信息防范手段最基本的手段：涉及敏感操作的请求改为POST请求这个方法的确可以防范一些CSRF攻击，但是对于进阶攻击就无能为力了——POST请求一样可以伪造...一般手段用户操作限制——验证码机制方法：添加验证码来识别是不是用户主动去发起这个请求，由于一定强度的验证码机器无法识别，因此危险网站不能伪造一个完整的请求。...额外验证机制——token的使用方法：使用token来代替验证码验证。由于黑客并不能拿到和看到cookie里的内容，所以无法伪造一个完整的请求。...总结因为CSRF攻击利用的是冲着浏览器分不清发起请求是不是真正的用户本人，所以防范的关键在于在请求中放入黑客所不能伪造的信息。从而防止黑客伪造一个完整的请求欺骗服务器。

7593 0

咱妈说别乱点链接之浅谈CSRF攻击

POST也能造成CSRF攻击上面的CSRF可以说相当危险，更新资源的操作不应该使用GET方式，GET方式只应该用于读操作。更新操作一定要使用POST方式，特别涉及到钱的问题。...Cookie: uid=1 money=2000&to_who=girlfriend 如此一来，不管哪种访问方式都可能受到攻击。...所以，这并不是GET和POST谁更安全的问题，POST只是提高了攻击门槛和成本（其实也就多几行html和js）。划重点，那么CSRF能够攻击的根本原因是：服务器无法识别你的来源是否可靠。...这种安全防范的事儿，更应该由程序验证。根据验证是否可靠性思路，可以有以下几种方法：验证HTTP Referer 字段 HTTP协议里面定义了一个访问来源的字段，这个字段叫Referer。...总结 CSRF防御原则： GET方式不能用于更新资源的操作 POST方式请求加上随机token验证 OWASP 2017年的十大安全威胁已经公布了,我们可以看看2013年和2017年CSRF稳稳排在第八位

5.1K4 0

CSRF攻击与防御

那么此时游戏网站所做的更改没起到任何的防范作用，恶意攻击者只需要像上面那样进行攻击即可达到目的。总结： 1、网站开发者的错误点在于没有使用$_POST进行接收数据。...当$_REQUEST可以接收POST和GET发来的数据，因此漏洞就产生了。高级别CSRF攻击　　这一次，游戏网站开发者又再一次认识到了错误，将进行下一步的改进与升级，将采用POST来接收数据 <?...Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器，但却无法保证该请求是用户批准发送的 CSRF防御方法服务器端防御：　　1、重要数据交互采用POST进行接收，当然是用POST也不是万能的...cookie】）　　CSRF攻击之所以能够成功，是因为攻击者可以伪造用户的请求，该请求中所有的用户验证信息都存在于Cookie中，因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证...鉴于此，我们将为每一个表单生成一个随机数秘钥，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。

1.1K2 0

Python 学习入门（15）—— Tornado

跨站伪造请求的防范跨站伪造请求(Cross-site request forgery)，简称为 XSRF，是个性化 Web 应用中常见的一个安全问题。...Tornado 有内建的 XSRF 的防范机制，要使用此机制，你需要在应用配置中加上 xsrf_cookies 设定： settings = { "cookie_secret": "61oETzKXQAGaYdkL5gEmGeJJFuYh7EQnp2XdTP1o...你可以通过在模板中使用专门的函数 xsrf_form_html() 来做到这一点： {{ xsrf_form_html...例如你需要使用一个不支持 cookie 的 API，你可以通过将 check_xsrf_cookie() 函数设空来禁用 XSRF 保护机制。...因为 Tornado 当中使用了一种非阻塞式的 I/O 模型，所以你可以改变这种默认的处理行为——让一个请求一直保持连接状态，而不是马上返回，直到一个主处理行为返回。

2K5 0

解决Yii2 启用_csrf验证后POST数据仍提示“您提交的数据无法验证”

一 CSRF 概念 CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF...XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。...与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。...使用Yii挂件生成html 这样会自动生成带有隐藏表单的_csrf " name="_csrf" > 三提交POST提示“您提交的数据无法验证” 使用原生or Yii挂件生成html带有_csrf 表单提交仍然提示“您提交的数据无法验证” 表单html如下： <div

2K3 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭