Как предотвратить использование ПОЛЬЗОВАТЕЛЕМ автоматических сообщений / спама? Вот мой способ сделать это, новый php-сеанс для каждого запроса страницы, который имеет свои собственные ограничения, без многозадачности. Я использовал новую сессию для каждой страницы в качестве защиты от CSRF и автоматических атак. Допустим, у нас есть форум, который использует AJAX для публикации тем и его проверки […]
У меня есть форма, в которой я должен заполнить некоторую информацию в поле. Даже если я что-то вложил внутрь, я получаю сообщение об ошибке: The CSRF token is invalid. Please try to resubmit the form В связи с этим вопросом: symfony2 CSRF недействителен Я правильно использую $ form-> bindRequest () if ($this->getRequest()->getMethod() == 'POST') { […]
Почтовые запросы работают нормально. Приложение Laravel 5 на PHP 5.4. Почтовые запросы в том же приложении, работающем на PHP 5.6.9, генерируют: TokenMismatchException VerifyCsrfToken.php в строке 46 Это происходит при каждом запросе на почту как на WAMP, так и на IIS. Случается с использованием сеансов базы данных и сеансов файлов. Полностью переустановил, а также попробовал все […]
Из того, что я узнал до сих пор, цель жетонов состоит в том, чтобы предотвратить нападение злоумышленника на подачу формы. Например, если на веб-сайте была форма, в которую вводились добавленные элементы в корзину, а злоумышленник мог бы спамить вашу корзину покупок, которые вам не нужны. Это имеет смысл, потому что может быть несколько допустимых входных […]
Моя страница регистрации правильно показывает форму с помощью CsrfToken ( {{ csrf_field() }} ), присутствующей в форме). Форма HTML <form class="form-horizontal registration-form" novalidate method="POST" action="{{ route('register') }}"> {{ csrf_field() }} …. </form> Я использую встроенную аутентификацию для пользователей. Ничего не изменил, кроме маршрутов и перенаправлений. Когда я отправляю форму (сразу после перезагрузки), она дает, что […]
Я работаю над полностью управляемым ajax приложением, где все запросы проходят через то, что в основном составляет основной контроллер, который на его голой кости выглядит примерно так: if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { fetch($page); } Достаточно ли этого для защиты от подделок подпроса? Довольно неудобно иметь вращающийся токен, когда вся страница не обновляется с каждым запросом. Я […]
Я хочу знать, достаточно ли этот код для предотвращения атаки CSRF на PHP-форму? <?php session_start(); session_regenerate_id(true); if (isset($_POST['submit'])) { if (isset($_SESSION['token']) && ($_POST['token'] == $_SESSION['token'])) { } } $token = hash('sha256', uniqid(mt_rand(), true)); $_SESSION['token'] = $token; ?> //FORM <form method="POST" action="page.php"> <input type="hidden" name="token" value="<?php echo $token; ?>"> <input type="submit" name="submit"> </form> Благодарю.
Я разрабатываю одно веб-приложение PHP, я хочу обеспечить большую безопасность приложения, чтобы никто не мог легко сломать функциональность. Краткое объяснение моей проблемы: в одном модуле есть один этап, когда я проверяю источник запроса (откуда приходит этот запрос) В настоящее время я использую переменную HTTP_REFERRER (доступную в php). Я проверяю это значение переменной на один конкретный […]
Когда я пытаюсь войти, я вижу токенную ошибку. Я проверил маркер в форме вида, это правильно, и когда comment \App\Http\Middleware\VerifyCsrfToken::class , в Kernel.php он заставляет меня войти, но после перенаправления на мою панель инструментов я не вошел. Я использую MAMP на mac. <div> <h1>Login</h1> <div> {!! Form::open(['url'=>'user/login','class' => '']) !!} <input type="hidden" name="_token" value="{{ csrf_token() […]
Сценарий проблемы: Я создаю блог с Laravel 4. Форма, которая отвечает за создание новых сообщений в блоге, обеспечивается сборкой в CSRF-защите ( Laravel Docs: CSRF Protection ). Пока все работает нормально, но кажется, что laravel не обновляет токен csrf при каждом запросе. Возникающая проблема заключается в том, что если пользователь обращается к кнопке «Назад» браузера, […]