CSRF全稱Cross Site Request Forgery，即跨站點(diǎn)請(qǐng)求偽造，通過(guò)偽裝成受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。如果使用的zblog應(yīng)用有通過(guò)cmd.php處理的鏈接，或提交數(shù)據(jù)，應(yīng)該同時(shí)提交一個(gè)token參數(shù)。另外，您的應(yīng)用如果有副作用，也務(wù)必需要加入CSRF Token。

通過(guò)GET方法提交，如果您的目標(biāo)地址是cmd.php，那么您可以使用以下函數(shù)：

如果不是，那么您也可以直接

通過(guò)POST方法提交，您可以在form表單內(nèi)加入

echo '';

如果需要兼容舊版Z-BlogPHP，可以使用

<?php if (function_exists('CheckIsRefererValid')) {echo '

如果您想在您的應(yīng)用內(nèi)集成CSRF Token檢測(cè)(這將在未來(lái)成為上架應(yīng)用中心的必需要求)，以及在增強(qiáng)安全模式下進(jìn)行來(lái)源檢測(cè)，您可以直接使用以下函數(shù)

CheckIsRefererValid();

如果需要兼容舊版Z-BlogPHP，可以使用

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

參考：https://github.com/zblogcn/zblogphp/commit/acd2d343f857192403c82d4cfd76806eef2dd660

簡(jiǎn)單舉例：

if(isset($_POST['form'])){

if (function_exists('CheckIsRefererValid')) CheckIsRefererValid();

}

<?php if (function_exists('CheckIsRefererValid')) {echo '

zblog wiki地址：https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security

總結(jié)

以上是生活随笔為你收集整理的php的防csrf攻击,zblog php添加Token防止CSRF攻击的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。