zblog中CSRFToken验证的必要性

2022年07月11日 • 阅读 1382
zblog中CSRFToken验证的必要性对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;通过 GET 方法提交,如果您的

zblog中CSRFToken验证的必要性

对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;


通过 GET 方法提交,如果您的目标地址是 cmd.php,那么您可以使用以下函数:

<?php echo BuildSafeCmdURL('act=TagPst'); ?>


通过 POST 方法提交,您可以在 form 表单内加入

<input type="hidden" name="csrfToken" value="<?php echo $zbp->GetCSRFToken();?>">

对于应用内的,比如保存配置项,上传文件等操作中,可使用CheckIsRefererValid();进行验证;

if (count($_POST) > 0) {
  CheckIsRefererValid();
  // 你的代码,以下为示例
  // 配置项保存 ↓
  foreach ($_POST as $key => $value) {
    $zbp->Config("demoPlugin")->$key = $value;
  }
  $zbp->SaveConfig("demoPlugin");
  // 结束
  $zbp->SetHint('good');
  Redirect('./main.php');
}

注:对于旧版本 Z-Blog PHP,可能需要先判断:if (function_exists('CheckIsRefererValid')) {CheckIsRefererValid();}

本文由青舟模板网发布,如若转载,请注明出处:http://qingzo.com/jishu/zblogcsrf.html
评论列表

共有0条评论来说两句吧...

欢迎 发表评论: