如何防止自动 AJAX 攻击

2023-11-24

如何防止用户自动发帖/垃圾邮件？

Here is my way这样做时，每个页面请求都会有新的 php 会话，这有其自身的局限性，没有多选项卡。

我为每个页面使用了新会话来防御 CSRF 和自动攻击。假设我们有一个使用 AJAX 发布线程的论坛，并通过 PHP SESSION 进行验证。

add_answer.php?id=123

<?php
if(!is_ajax()){// function that determines whether the request is from ajax (http header stuff)
$_SESSION['token'] = md5(rand());
}
//some ajax request to ajax.php?id=123
?>

ajax.php?id=123

<?php
if($_SESSION['token'] == $_GET['token']){
echo 'MYSQL INSERT stuff';
}else{
echo 'Invalid Request';
}
?>

一切正常，直到用户在另一个选项卡上打开 page.php?id=456，ajax 在 ajax.php?id=123 上返回“无效请求”这与我问的另一个问题有关。他们建议始终只使用一个会话哈希，直到他/她注销为止——只有那时会话才会重新生成。如果令牌是同一个用户，则可以简单地绕过它并进行自动攻击。对此有什么想法吗？

无论如何your way防止自动 AJAX 攻击？

PS:

不要用验证码折磨用户。
谷歌未能向我展示对此有用的东西。
将此视为一个挑战。
或者至少对专家的答案进行投票，您认为这是做到这一点的绝妙方法

听起来您反对只要浏览器打开就让会话保持打开状态是自动攻击的问题。不幸的是，在每个页面加载时刷新令牌只能阻止最业余的攻击者。

首先，我假设我们正在讨论专门针对您的网站的攻击。（如果我们谈论的是那些只是四处游荡并提交各种表格的机器人，这不仅不会阻止他们，而且还有更好、更简单的方法来做到这一点。）如果是这样的话，我的目标是我的网站，这是我的机器人会做的事情：

加载表单页面。
读取表单页面上的令牌。
使用该令牌提交自动请求。
转到步骤 1。

（或者，如果我对您的系统进行了足够的调查，我会意识到，如果我在每个请求中包含“这是 AJAX”标头，我可以永远保留一个令牌。或者我会意识到该令牌是我的会话 ID，并且发送我自己的PHPSESSID曲奇饼。）

这种在每次页面加载时更改令牌的方法绝对无法阻止实际上的人wanted如此严重地攻击你。因此，由于代币对自动化没有影响，所以重点关注它对 CSRF 的影响。

从阻止 CSRF 的角度来看，创建一个令牌并维护它直到用户关闭浏览器似乎就完成了所有目标。简单的 CSRF 攻击被击败，用户能够打开多个选项卡。

TL;DR：在每个请求上刷新一次令牌并不能提高安全性。追求可用性并在每个会话中执行一个令牌。

然而！如果您非常担心重复的表单提交（无论是意外还是其他原因），这个问题仍然可以轻松解决。答案很简单：将两个令牌用于两个不同的工作。

第一个令牌将保持不变，直到浏览器会话结束。该令牌的存在是为了防止 CSRF 攻击。该用户使用此令牌提交的任何内容都将被接受。

第二个令牌将为加载的每个表单唯一生成，并将存储在打开表单令牌的用户会话数据的列表中。该Token具有唯一性，一旦使用即失效。该用户使用此令牌提交的内容将被接受一次且仅一次。

这样，如果我打开表单 A 的选项卡和表单 B 的选项卡，每个选项卡都会有我个人的反 CSRF 令牌（已处理 CSRF）和我的一次性表单令牌（已处理表单重新提交）。这两个问题均得到解决，且不会对用户体验产生任何不良影响。

当然，您可能会认为对于这样一个简单的功能来说，实现起来太多了。无论如何，我认为是这样。无论如何，如果你想要的话，就存在一个可靠的解决方案。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何防止自动 AJAX 攻击的相关文章

从前端更改记录顺序

我在编写下一个功能时遇到问题我希望用户能够重新排列记录并更改 display order 值我使用 Jquery UI 的可拖放功能来促进这一点我可以看到如何简单地交换 display order 值但我想为一条记录设置一个显示顺序
pip install MySQL-python 在 ubuntu 14.04 上失败，错误：命令“x86_64-linux-gnu-gcc”失败，退出状态为 1

我已经阅读了所有要安装的软件包列表的堆栈溢出谷歌建议但似乎都没有解决这个问题将 ubuntu 14 04 Web 服务器从美国托管提供商迁移到欧洲的 DigitalOcean 两者都配置了相同的 Ansible playbook 但美
删除连接中不存在的记录

想象两个表 A 和 B A B 1 2 2 3 6 5 4 7 9 11 13 23 9 现在我想从 A 中删除 B 中不存在的记录例如从 A 中删除 1 6 和 4 我最初的想法是您可以否定联接的结果 DELETE FROM A W
创建一个基于简单文本文件的搜索引擎

我需要尽快创建一个基于简单文本文件的搜索引擎使用 PHP 基本上它必须读取目录中的文件删除停止词和无用词为每个剩余的有用词及其在每个文档中出现的次数建立索引我猜这个的伪代码是 for each file in directory r
检查用户是否连接到 Facebook，然后检查他是否喜欢某个页面

有没有什么方法可以检查用户是否在我的外部页面上连接到 Facebook 而不让他们允许我的应用程序之一同样的问题也适用于检查用户是否喜欢某个页面我检查了大约 20 个问题和 3 4 个教程似乎所有问题都在讨论内部脚本粉丝页面应用
将 Javascript 变量转换为 PHP 变量

我想使用由 videoel getCurrentTime 函数返回给我的 javascript 变量并将其转换为 php 变量以便我能够将其添加到我的 SQL 插入查询中例如 INSERT INTO tblData VALUES ph
通过sequelize.query() 插入原始查询时不会触发挂钩

我有以下内容EmployeeMySQL 数据库模型 var bcrypt require bcrypt module exports sequelize DataTypes gt const Employee sequelize defin
如何从表中选择所有偶数 id？

我想从 MySQL 数据库的表中选择所有甚至帖子 ID 然后显示它们我还想获取所有带有奇怪 id 的帖子并将它们显示在其他地方我想使用 PHP 来完成此操作因为这是我使用的服务器端语言或者我是否必须选择所有帖子然后使用 Java
如何在 PHP 中上传 .txt 文件并在另一页面上逐行读取该文件？

我的目标是在表单上上传 txt 文件浏览将文件发布到另一个 php 页面然后逐行读取该文件到目前为止我的代码就在这里文件 1 HTML 上传
如何在 Kohana 中包装 PHP 遗留代码？

我有大量用 PHP 编写的遗留代码这些代码不是在任何特定框架上编写的而是主要是老式风格即内联 PHP 然而我的大部分新代码都是在 Kohana 3 1 X 框架上编写的尽管 Kohana 确实允许遗留代码和 Kohana 文件在同
如何将自托管 WordPress 和已安装的实时站点插件升级到最新可用版本而不遇到任何麻烦？

我必须升级正在运行的 WordPress 网站的 WordPress CMS 和一些已安装的插件并且我想要升级的一些插件之前已被修改以实现某些目标 http easycaptures com fs uploaded 288 9522279
Tomcat JDBC 池中没有足够的空闲连接

给定以下 Tomcat JDBC 连接设置
使用 jquery 和 php 测试表单输入是否为 1 或 2 位整数

我有一个表单其中有五个字段全部设置为 maxlength 2 基本上我希望唯一可以输入的值是一位或两位整数因为在将值存储在数据库中之前对这些字段执行计算是否有任何 jquery 不允许用户输入不是整数的值另外用 jquery 和
vagrant box速度慢，如何改进？

我们已经为我们的开发盒构建了一个 vagrant box 但我们面临着一些延迟问题 Issues Assetic 手表速度很慢 app dev php 中的整体应用程序访问速度很慢在 vagrant box 的共享文件夹中使用查找命令
登录页面上出现错误“警告：尝试访问 bool 类型值的数组偏移量”[重复]

这个问题在这里已经有答案了我目前正在为一个学校项目制作一个网站并且正在制作一个用户注册系统目前注册部分与进入 MySQL 数据库的用户数据完美配合但是我的登录页面似乎已损坏每次我尝试登录时都会收到以下错误警告尝试访问第 2
是否可以从插件扩展 Wordpress XMLRPC 接口？

是否可以创建一个插件在激活时向 XMLRPC 接口添加新的功能并处理其调用简而言之是的您可以将函数添加为插件或添加到主题的functions php 文件中来处理XMLRPC 调用您将需要以下部分 function xml a
cmd 和 workbench mysql 查询性能差异

我有两个问题正如我的标题哪一个对于对大量数据运行大型查询更有效我查看了 MySQL 文档其中解释了工作台的性能https www mysql com products workbench performance https www
MySQL - 连接 a 或 b

假设我有一个TABLE a其中一个COLUMN data是一个join其他 2 张桌子 TABLE b and TABLE c 因为我想得到一个COLUMN info in b or c 事情是a data将匹配only with b da
在 C 中运行 setuid 程序的正确方法

我有一个权限为4750的进程我的Linux系统中存在两个用户 root 用户和 appz 用户该进程继承以 appz 用户身份运行的进程管理器的权限我有两个基本惯例 void do root void int status statu
在网络托管上发布后，php 会话无法正常工作

我的网站在本地主机上运行良好但是一旦我将其部署到我的托管服务会话就会停止工作

随机推荐

iPhone/桌面应用程序的相同代码库

我有一个 iPhone iPad 应用程序我想将其移植到 MacOSX 我的大多数目标 C 类只要不包含 UIKit 内容就应该可以正常工作显然界面会有所不同在 Xcode 中执行此操作的最佳方法是什么开始一个全新的项目添加新目
如何在按键时获得本地化字符？

我需要得到本地化字符 on keypress事件例如在捷克语键盘上我需要输入而不是 5 个字符键码 53 请参阅捷克语键盘布局有没有其他方法来获取字符而不使用文本输入和读取值换句话说有什么方法可以从事件对象中获取符合当前用户
如何显示从 axios 请求返回的图像（React）？

我正在使用 React 开发一个谷歌地图项目我为 onClick 处理程序分配以下方法 getStreetView lat lng let url https maps googleapis com maps api streetview
如何在onKeyPress期间获取输入文本框的文本？

我试图在用户输入文本时获取文本框中的文本 jsfiddle游乐场 function edValueKeyPress var edValue document getElementById edValue var s edValue valu
如何从 docker 容器“avahi 浏览”？

我正在运行一个基于 ubuntu 14 04 的容器并且我需要能够使用avahi browse在里面然而 env root 8faa2c44e53e opt cluster manager avahi browse a Failed t
PDO PHP bindValue 不起作用

我知道这个问题已经被问了 1000 次了但出于某种原因我继续用头撞墙这有效 sql SELECT a eventCode a eventTime a teamCode a playerCode b lastName b firstNa
将 ImageView 中的图像保存到设备图库

我正在尝试将图像从 ImageView 保存到设备库我试过这段代码代码编辑 URL url new URL getIntent getStringExtra imageURL File f new File url getPath ad
为什么第二个 for 循环总是比第一个循环执行得快？

我试图弄清楚 for 循环是否比 foreach 循环更快并使用 System Diagnostics 类来计时任务在运行测试时我注意到我放在第一个循环的执行速度总是比最后一个循环慢有人可以告诉我为什么会发生这种情况吗我的代码如下
我的 javascript 文件中的 Laravel 4 Blade 语法

我的主页有一些内联 javascript 与一些刀片语法混合在一起例如它一直有效直到我想将 javascript 移动到外部 file js 每当添加刀片语法时我都会出错有没有办法可以在我的 javascript files js
为什么在推导类型时会删除模板参数的限定符？

在使用 Microsoft VisualStudio 2008 构建一个小示例程序时我注意到传递给模板的类型推导有一个奇怪的事情考虑这个例子 template
在 C 中， (x==y==z) 的行为是否符合我的预期？

我可以比较如下三个变量而不是这样做if x y y z z x 如果所有三个变量具有相同的值则应执行 if 语句这些是布尔值 if debounceATnow debounceATlast debounceATlastlast deb
在 Swing 中的组件顶部进行绘制？

我有一个JPanel添加到JViewport 并且该面板还添加了几个其他面板我正在尝试实现一种拖动选择您可以通过拖动鼠标来选择多个组件我面临的唯一问题是选择矩形被绘制在添加到主组件的组件后面JPanel 我怎样才能在它们上面画画我的
Powershell 彩色目录列表在格式范围内不正确

我从这里得到了这个彩色目录脚本http tasteofpowershell blogspot com 2009 02 get childitem dir results color coded html function ls regex
JPA 和 JSON 运算符本机查询

我试图让这个查询在 JPA 中工作 SELECT FROM contrat WHERE contrat json gt nom hever 它完美地与postgresql但是当我将它与JPA集成时出现以下错误该位置 1 的参数不存在 M
给定 N 个生成器，是否可以创建一个在并行进程中运行它们并生成这些生成器的 zip 的生成器？

假设我有 N 个生成器gen 1 gen N其中每个都会产生相同数量的值我想要一台发电机gen这样它就可以在 N 个并行进程中运行 gen 1 gen N 并产生 next gen 1 next gen 2 next gen N 这就是我
静态 HttpClient 仍在创建 TIME_WAIT tcp 端口

我在 NET Framework 4 5 1 4 6 1 和 4 7 2 中的 HttpClient 中遇到了一些有趣的行为由于 TCP 端口使用率高的已知问题我建议在工作中的项目中进行一些更改以便在每次使用时不处理 HttpClie
C++ 异常：抛出 std::string

当我的 C 方法遇到奇怪的事情并且无法恢复时我想抛出异常可以扔一个吗std string指针这就是我期待做的事情 void Foo Bar if QueryPerformanceTimer m baz throw new std st
投影球体的半径

我想完善一个上一个问题如何将球体投影到屏幕上 2 给出了一个简单的解决方案 approximate radius on screen CLIP SPACE world radius cot fov 2 Z with fov field o
相对于容器以百分比宽度定位固定元素

我知道position fixed使元素相对于视口而不是它的offsetParent但是我有一个问题我有一个侧面元素需要x空间量然后是一些固定位置标题元素我想占用剩余视口宽度的一定百分比参见小提琴 http jsfiddle net
如何防止自动 AJAX 攻击

如何防止用户自动发帖垃圾邮件 Here is my way这样做时每个页面请求都会有新的 php 会话这有其自身的局限性没有多选项卡我为每个页面使用了新会话来防御 CSRF 和自动攻击假设我们有一个使用 AJAX 发布线程的论坛

如何防止自动 AJAX 攻击

如何防止自动 AJAX 攻击 的相关文章

随机推荐

热门标签

如何防止自动 AJAX 攻击的相关文章