为虎绿林添加CSRF防护(跨站表单提交二次确认)

@Ta 2019-10-20 976点击

CSRF防护源代码:https://github.com/hu60t/hu60wap6/blob/master/src/sub/csrf_protect.php
注意:如果你想用这段代码,请删除第6行的&& empty($_GET['_origin'])这部分,否则会成为一个漏洞。
虎绿林在$_GET['_origin']非空时不接受Cookie,所以不会有问题。

跨站提交测试:点击进入,然后点击“保存”或者“删除所有自定义数据”。

qiniu.img.hu60.cnhu60.cn的子域名,所以会向该站发送Cookie。不过,因为Cookie中设置了HTTP Only,应该没有办法从JS中读取到Cookie。目前表单提交也加了二次确认,应该比较安全了。目前测试页面点“保存”和“删除所有自定义数据”都是可以被保护的。

你们也可以找一下有没有其他绕过的方式。

回复列表(4)
添加新回复
回复需要登录

[聊天-公共聊天室] 3ghkwg:3g30.net已经固虎绿林了