Использование nonce в качестве решения безопасности в PHP
У меня в настоящее время проблема с использованием nonce в качестве решения безопасности в PHP
Я прочитал это сообщение о том, как проверить, если запрос, если он поступает с того же сервера или другого сервера?
- Как создавать и использовать nonces
- Клиент Java Webservice UsernameToken эквивалентен PHP
- Итоги CSRF против путаницы Nonce - они одинаковы?
- nonce token после ajax-ответа и проблем с хешем с использованием ajax jquery type json
об использовании поля скрытой формы ввода для хеширования случайного значения и в то же время сохранить это случайное значение в сеансе, который соответствует пользователю. Когда форма отправлена, проверьте, что скрытое поле имеет то же значение, что и хранилище в сеансе. (Я думаю, что у меня проблема с этим)
пример
<? $_SESSION['formhash'] = md5('any value to be hashed'); ?> <input type="hidden" name="hashed" id="hashed" value="<?php echo $_SESSION['formhash']; ?>" /> Пользователь, имеющий Firebug Mozilla и проверяющий элемент, все равно узнает мое скрытое поле, а затем скопирует его. А затем создайте свою собственную форму, а затем разместите ее на моем URL-адресе, и Login все равно будет обходить.
Пример изображения
Есть ли более безопасный способ сделать это? Любая помощь будет оценена благодаря благодарности!