CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用W – x b g ` , ,如果有副作用,也务必需要加入CSRF Token。

通过GN , : ~ &ET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:


<?php echo BuildSafeCm9 H !dURL('act=TagPst'); ?>

如果不是,那么您也可以直接


<?php echo BuildSafeURL('maiV . . U p e ) : on.php'); ?>

通过POST方法提交,您可以在form表单内C Z P加入


echo '<input type="hidden" name="l 2 s h / 6 l (csrfToken" value="' . $zbp->GetCSRFToken() . '">';

如果需要兼容旧版Z-BlogPHP,可以使用


<?php if (function_exists('CheckIsRefererValid')) {echo '<input type="hidden" name="csrfToken" value="' . $zbp->GetCSRFToken() . '">';}?>

如果您想在您的应用内集成CSRF Token检测(这将在未来成为上架应用中心的必需要求),以及在增强安全模式下进行来源检测,您可以直接使用以下函数


CheckIsh D c m h a T T HRefererValid();

如果需要兼容旧版Z-BlogPHP,可以使用


if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

参考:https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

简单举例:


if(isset($_POST['form'])){
if (functio\ w R R | v u e %n_exists('ChecL g \ {kIsRefererValid')) CheckIsRefererValid();
}

<form>
<input type="text" name="form" value=s S Y ? ?""/>
<?php if (function_exiD O 5 _ qsts('CheckIsRefererValid')) {echo '<inp- @ = Yut type="hidden" namey 4 } ~="csrfToken" value="' . $zQ 4 R } p e T (bpX | Q->GetCSRFToken() . '">';}?>
&l\ R H _ C G \ ; Ft;input name="" type="X K G e 4 2Submit" class="button" value="保存"/>
</form>

zblog wiki地址:https://wiki.zblogcn.com/doku.phpk # K v Y?id} J k } ) s I 1=zblogphp:development:features:1.5.2:X , % J & 0securD G ; IityS g w L C ?

1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布,分享有积分奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,请联系管理员!
8. 因为资源和程序源码均为可复制品,所以不支持任何理由的退款兑现,请斟酌后支付下载
声明如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性

源码巴巴网 » zblog php添加Token防止CSRF攻击

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
提示下载完但解压或打开不了?
最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或 联络我们.。
你们有qq群吗怎么加入?
当然有的,如果你是帝国cms、易优cms、和pbootcms系统的爱好者你可以加入我们的QQ千人交流群http://www.yuanmababa.cn/page-qun.html。
  • 25会员数(个)
  • 744资源数(个)
  • 0本周更新(个)
  • 0 今日更新(个)
  • 1040稳定运行(天)

提供最优质的资源集合

加入VIP
开通VIP 享更多特权,建议使用 QQ 登录