CSRF를 방지하는 방법 중 하나는 양식에 토큰을 사용하는 것입니다.크로스 사이트 요청 위조를 방지
- 은 숨겨진 필드에서의 토큰 값을 설정, 세션에 저장,을 encryted하는 토큰 값을 생성 : 기사를 많이 겪고 난 후에 나는 단계는 일반적으로 이러한 라인을 따라 것을 알아 냈어 형태. $ _POST [ '토큰'] == $ _SESSION [ '토큰']
내 질문은 : 양식 처리 페이지에서
또한 POST 메서드 만 사용하면 CSRF 요청을 방지 할 수 없다는 사실을 읽었습니다. 따라서 두 번째 질문은 이것이 사실이라면 POST 메서드를 사용하는 경우 어떻게 공격자가 위조 된 요청을 성공적으로 만들 수 있습니까?
토큰을 암호화 할 필요가 없으므로 무작위로 만들 필요가 있으므로 1에서 1000 사이의 숫자를 사용하지 말고 보통 sha1 또는 md5라는 긴 토큰을 생성하여 임의의 문자열만으로 충분합니다. 사이트에 양식이있는 경우 양식의 '조치'가 사이트를 가리키고 내 사이트의 javascript가 양식을 제출하고 양식에 대한 POST 요청으로 표시되는 양식을 복제 할 수 있습니다. –