如何仅允许来自我的网页的发布请求?

好吧,这个问题只是理论上的,但很简单,我不希望人们发送来自我的模块或jQuery $ .ajax脚本的修改版本的发布请求。有没有特定的技术可以做到这一点(mod重写配置,.htacces,crc等)?如何仅允许来自我的网页的发布请求?

回答:

一个过于简单的方式来解释一个普遍的做法是,你在生成的形式请求时一个大的随机数字或字符串。这个值被称为令牌,并且因为它只被使用一次,所以它通常被称为随机数。

存储该令牌在服务器上的当前会话,并把它的形式作为隐藏字段的值。用户提交表单时,将提交的标记与存储的标记进行比较。

您也应该检查请求头以验证请求看起来是从右侧页面中来。

owasp csrf cheat sheet

以上是 如何仅允许来自我的网页的发布请求? 的全部内容, 来源链接: utcz.com/qa/260387.html

回到顶部