如何防止HTTP欺骗攻击？

您无法“欺骗”HTTP请求。您向服务器发送请求，服务器会做出相应的回应。
我认为您试图防止的是cookie欺骗。考虑到cookie存储在客户端，您无法阻止用户修改其内容。
不要在cookie中存储敏感信息。它们不安全，易于被客户端读取和修改。
改用PHP会话。有关会话如何工作以及如何保持安全的完整说明可以在我的先前答案之一中阅读。
基本上，保护会话有两个方面：
- 预防会话固定 每X个请求重新生成一个新的session_id，以减少攻击者窃取id的时间。 - 唯一标识客户端 使用IP和/或User-Agent唯一标识客户端，并在每次页面加载时检查该值是否与存储在会话中的值相匹配。这确实是您唯一两个唯一标识客户端的选择。
即使采取了这些措施，也没有绝对可靠的解决方案，一旦您的session_id被破解，您就基本上无法防范。
再次强调，有关详细说明，请参见我的先前答案之一。

什么是欺骗？HTTP只是一种传输数据的协议，它本身并不会被欺骗。要做的事情不是防止信息欺骗，而是从不信任客户端。在处理cookie时，存储一个散列伪随机值，并在接受cookie数据之前将其与数据库进行比较。
更新：考虑到您特别关注cookie，我将更深入地解释一下。存储cookie时有两个主要问题：
1. 不要存储实际数据 2. 验证数据库
例如，您想拥有一个存储个人数据的用户站点。在cookie中，可以存储用户名或用户ID以及在用户登录时还存储在数据库中的散列安全令牌。安全令牌不可知，并且每次登录都会更改。任何个人信息都留存在数据库中，永远不会存储在cookie中。
建议阅读以下最佳实践： http://jaspan.com/improved_persistent_login_cookie_best_practice

如果你想要防止 中间人攻击 窃听，你可能想要使用 HTTPS，它在网络上创建了一个安全通道，前提是使用了足够的密码套件并且服务器证书得到了 验证和信任。 注意： 最初的问题含义不明确。现在已经清楚该问题是关于 cookie 欺骗的。

欺骗攻击？身份被盗的唯一真正问题是 cookie 泄露。

你可以做的是，每当通过 HTTP 标头发送 cookie 时，检查其是否与发行的 IP 地址相匹配。例如：

<?php
session_start();
$rec = db_query('select count(*), ip from session where session_id = "' . session_id() . '"');

list ($last_count, $last_ip) = $rec[0];

if (! $last_count) {
    # add it into the database
    db_query('insert into session (session_id, ip) values (' .
        '"' . session_id() . '", ' .
        '"' . $_SERVER['REMOTE_ADDR'] . '"' . 
    ')');
} else {
    if ($last_ip != $_SERVER['REMOTE_ADDR']) {
        print "user has stolen a cookie!";
    }
}
?>

但是这可能会对那些由ISP分配动态IP地址的人产生负面影响。

我知道这个问题已经有答案了，但我想再加上另一种技巧，我自己使用的，对于管理登录特别有用。像往常一样使用会话(session)，但将目录保护加入其中。

这样一来，如果一个会话被劫持，劫持者也必须能够获取目录登录。

我在论坛管理中使用这种技巧。某些论坛容易被黑客攻击，这样可以减少黑客进入并造成严重问题的机会。

DC