通常在PHP中,注销哈希值是如何处理的?
在许多网站上,通常有注销哈希值来确认正在注销的用户是否为正确的用户,这通常是如何处理的?
示例
http://domain.com/user/logout/nil4ytwojytjwoytjwy5tw5
nil4ytwojytjwoytjwy5tw5是哈希值。
这里有一些我研究的更新,以便让其他人了解它的工作原理。
我发现这种类型的攻击主要用于零字节图像和iframe等。
如果你已经登录到网站A并且也在浏览网站B,网站B可以放置一个像素标签:
<img src="http://SITE_A.com/logout/" width="1" height="1" style="display:none" />
由于请求来自合法的登录用户,因此该请求得到处理。
通过为重要表单(如转账、注销等)添加验证值,黑客无法获取此值,因此请求将不会被执行!
谢谢您的帮助。