关于“php_伪造_referer”的问题,小编就整理了【3】个相关介绍“php_伪造_referer”的解答:
力控web发布常见问题?1、跨站脚本攻击(Cross Site Scripting)
解决方案
xss之所以会发生,是因为用户输入的数据变成了代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“双引号”之类的特殊字符进行转义编码。
2、SQL注入
报错时,尽量使用错误页面覆盖堆栈信息
3、跨站请求伪造(Cross-Site Request Forgery)
解决方案
(1)将cookie设置为HttpOnly
server.xml如下配置
1
<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>
web.xml如下配置
(2)增加token
表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token。
(3)通过referer识别
根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。
fiddler请求后断点功能怎么用?答,fiddler请求后断点功能用法如下:
1. 修改HTTP请求头信息。例如修改请求头的UA, Cookie, Referer 信息,通过“伪造”相应信息达到达到相应的目的(调试,模拟用户真实请求等)。
2. 构造请求数据,突破表单的限制,随意提交数据。避免页面js和表单限制影响相关调试。
3. 拦截响应数据,修改响应实体。
PHP获取域名的几种方法?回答如下:1. 使用$_SERVER['HTTP_HOST']获取当前请求的域名。
2. 使用$_SERVER['SERVER_NAME']获取当前服务器的域名。
3. 使用$_SERVER['SERVER_ADDR']获取当前服务器的IP地址,再通过DNS查询获取对应的域名。
4. 使用parse_url()函数解析当前请求的URL,获取其中的host部分。
5. 使用gethostbyaddr()函数获取当前服务器的IP地址对应的域名。
代码示例:
获取当前的域名:
echo $_SERVER['SERVER_NAME'];
//获取来源网址,即点击来到本页的上页网址
echo $_SERVER["HTTP_REFERER"];
$_SERVER['REQUEST_URI'];//获取当前域名的后缀
$_SERVER['HTTP_HOST'];//获取当前域名
dirname(__FILE__);//获取当前文件的物理路径
dirname(__FILE__)."/../";//获取当前文件的上一级物理路径
?>
到此,以上就是小编对于“php_伪造_referer”的问题就介绍到这了,希望介绍关于“php_伪造_referer”的【3】点解答对大家有用。
