CSRF防护源代码:https://github.com/hu60t/hu60wap6/blob/master/src/sub/csrf_protect.php
注意:如果你想用这段代码,请删除第6行的&& empty($_GET['_origin'])这部分,否则会成为一个漏洞。
虎绿林在$_GET['_origin']非空时不接受Cookie,所以不会有问题。
跨站提交测试:点击进入,然后点击“保存”或者“删除所有自定义数据”。
qiniu.img.hu60.cn是hu60.cn的子域名,所以会向该站发送Cookie。不过,因为Cookie中设置了HTTP Only,应该没有办法从JS中读取到Cookie。目前表单提交也加了二次确认,应该比较安全了。目前测试页面点“保存”和“删除所有自定义数据”都是可以被保护的。
你们也可以找一下有没有其他绕过的方式。
你们也有小尾巴吗,我也有啊!