zblog php添加Token防止CSRF攻击

CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用W - x b g ` , ,如果有副作用,也务必需要加入CSRF Token。

通过GN , : ~ &ET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:


<?php echo BuildSafeCm9 H !dURL('act=TagPst'); ?>

如果不是,那么您也可以直接


<?php echo BuildSafeURL('maiV . . U p e ) : on.php'); ?>

通过POST方法提交,您可以在form表单内C Z P加入


echo '<input type="hidden" name="l 2 s h / 6 l (csrfToken" value="' . $zbp->GetCSRFToken() . '">';

如果需要兼容旧版Z-BlogPHP,可以使用


<?php if (function_exists('CheckIsRefererValid')) {echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';}?>

如果您想在您的应用内集成CSRF Token检测(这将在未来成为上架应用中心的必需要求),以及在增强安全模式下进行来源检测,您可以直接使用以下函数


CheckIsh D c m h a T T HRefererValid();

如果需要兼容旧版Z-BlogPHP,可以使用


if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

参考:https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

简单举例:


if(isset($_POST['form'])){
if (functio\ w R R | v u e %n_exists('ChecL g \ {kIsRefererValid')) CheckIsRefererValid();
}

<form>
<input type="text" name="form" value=s S Y ? ?""/>
<?php if (function_exiD O 5 _ qsts('CheckIsRefererValid')) {echo '<inp- @ = Yut type="hidden" namey 4 } ~="csrfToken" value="' . $zQ 4 R } p e T (bpX | Q->GetCSRFToken() . '">';}?>
&l\ R H _ C G \ ; Ft;input name="" type="X K G e 4 2Submit" class="button" value="保存"/>
</form>

zblog wiki地址:https://wiki.zblogcn.com/doku.phpk # K v Y?id} J k } ) s I 1=zblogphp:development:features:1.5.2:X , % J & 0securD G ; IityS g w L C ?

给TA买糖
共{{data.count}}人
人已赞赏
CMS教程

zblog php mip主题开发官方指南

2021-9-17 15:18:38

CMS教程

关闭zblog页面源代码的运行性能信息

2021-9-17 15:28:41

下载说明

  • 1、微码盒所提供的压缩包若无特别说明,解压密码均为weimahe.com
  • 2、下载后文件若为压缩包格式,请安装7Z软件或者其它压缩软件进行解压;
  • 3、文件比较大的时候,建议使用下载工具进行下载,浏览器下载有时候会自动中断,导致下载错误;
  • 4、资源可能会由于内容问题被和谐,导致下载链接不可用,遇到此问题,请到文章页面进行反馈,以便微码盒及时进行更新;
  • 5、其他下载问题请自行搜索教程,这里不一一讲解。

站长声明

本站大部分下载资源收集于网络,只做学习和交流使用,版权归原作者所有;若为付费资源,请在下载后24小时之内自觉删除;若作商业用途,请到原网站购买;由于未及时购买和付费发生的侵权行为,与本站无关。本站发布的内容若侵犯到您的权益,请联系本站删除,我们将及时处理!
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索