文章/答案/技术大牛

发布

社区首页 >问答首页 >这如何防止csrf攻击？

问这如何防止csrf攻击？
EN

Stack Overflow用户

提问于 2021-03-30 12:41:48

回答 1查看 69关注 0票数 1

我正在编写opencart项目，并使用本条款编写自定义apis。

它使用这段代码对csrf攻击进行安全检查：

    if (isset($this->request->server['HTTP_ORIGIN'])) {
      $this->response->addHeader('Access-Control-Allow-Origin: ' . $this->request->server['HTTP_ORIGIN']);
      $this->response->addHeader('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
      $this->response->addHeader('Access-Control-Max-Age: 1000');
      $this->response->addHeader('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
    }

我的问题是，根据这篇文章，这将如何防止csrf攻击？似乎它只是将访问控制允许源标头设置为请求来自的任何域。

php

security

cors

csrf

回答 1

Stack Overflow用户

回答已采纳

发布于 2021-03-30 12:56:26

这并不能防止CSRF攻击，因为你允许所有的来源！这是同一篇文章

Access-Control-Allow-Origin: *

您应该创建如下所示的可接受性列表，这将确保只为CORS授予列表中的那些内容。

Scheme、Domain和Port是比较重要的信息。在使用缺省值(如http=80和https=443 )时，可以省略端口。

if(in_array($this->request->server['HTTP_ORIGIN'], [
    'http://xxx-domain.org',
    'https://example.org',
    'http://localhost:8888',
])) {
    $this->response->addHeader("Access-Control-Allow-Origin: {$this->request->server['HTTP_ORIGIN']}");
    $this->response->addHeader('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');
    $this->response->addHeader('Access-Control-Max-Age: 1000');
    $this->response->addHeader('Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With');
}

票数 2

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/66871184

复制

相似问题

问这如何防止csrf攻击？
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问这如何防止csrf攻击？EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问这如何防止csrf攻击？
EN