誰もがクロスサイトフォームの送信を保護する方法を知っていますか?たとえば、私が登録ページを持っていて、ユーザーが自分の電子メールとパスワードを入力しなければならない場合、私は他のサイトから電子メールとパスワードの値をmywebサイトに送信したくない。あなたは、人々がそれを防止する一つの方法は、リファラーのHTTPヘッダーをチェックすることです、あなたのサーバーに別のウェブサイト上でホスティング形式のデータを提出することができるようにしたくないわけ場合クロスサイトフォームを保護する方法サブミット
答えて
ストア秘密ランダムに生成されたキー内のユーザーのセッションを使用する必要があります充填自動化されたフォームを防ぐためである場合。ユーザーが、その値でフォームの隠し入力をフォームに入れてページを開くとき。フォームが送信された後、受信データの検証中に両方が一致するかどうかを確認します。 Webセキュリティの世界では
は、しかし、これはすべての仕事に行くのではありませんそれはブラウザによって送信されたデータに依存しており、簡単に偽装されているからです。
また、送信するHTTPリファラーをオフにする人に面倒を引き起こしてしまうでしょう。
これを動作させるもう1つの方法は、自分のIPアドレスに基づいて(ユーザがページを要求したときに)生成する値を持つ<input type="hidden" value="dsahdbashdbhas[keyboard mash]" />
を送信することです。その後、フォームを処理するときにこの値をチェックすることができ、正しくない場合はリクエストを破棄できます。
これは、あなたがCAPTCHA
おかげDotmisterでCross-Site Request Forgery Prevention Cheat-Sheet - そして他のpages--を必ずお読みください必要があり、「キーボードマッシュ」とは何ですか? – Dev
ああ申し訳ありませんが、私はそれらの文字を取得するためにキーボードを押しました。私は 'md5($ _ SERVER [" HTTP_REFERRER "]);'の行に沿って何かアドバイスをしますが、あなたのウェブサイトがこの種のものを対象にしている場合は簡単に複製されます –
、これはクロスサイトリクエストフォージェリ(CSRF)として知られている脆弱性です。あなたはOWASP
- 1. NSUserDefaultsを保護する方法は?
- 2. iOSバンドルファイルを保護する方法
- 3. リクエストボディを保護する方法
- 4. Pythonでパスワードを保護する方法
- 5. session_idを保護する方法は?
- 6. webHttpBindingを保護する方法は?
- 7. 私のファイルを保護する方法
- 8. NetStyleでウェブソケットを保護する方法
- 9. JQueryパラメータを保護する方法
- 10. 投稿フォームを保護する方法
- 11. .NET DLLを保護する方法
- 12. Windowsでファイルを保護する方法
- 13. 方法:メモリを保護する - strncat()?
- 14. Flashのダウンロードを保護する方法
- 15. Webサービスを保護する方法は?
- 16. Webフォントを保護する方法
- 17. Silverlightアプリケーションを保護する方法
- 18. MonoTouch:アプリケーションを保護する方法
- 19. NodeJS + Express:URLを保護する方法
- 20. 処理ファイルを保護する方法
- 21. クロムエクステンションの保護方法
- 22. Munin、apache、パスワード保護方法
- 23. Androidプロジェクトの保護方法
- 24. phpファイルの保護方法
- 25. クロスサイトフォームLDAP
- 26. サブミット時に複数の部分ビューを保存する方法
- 27. デコンパイルからJavaコードを保護または保護する方法
- 28. 保存されたデータを保護する方法
- 29. 特定の方法でログインシステムを保護
- 30. サブミット画像を入力する方法
文字列がランダムに生成された場合、それをチェックする? – adlawson
はい、ありがとうph6py、私はそれを行います:) – Dev
あなたはセッション内でそれを保存します。 – user841092