php 防跨站表单提交

一种最优方式防跨站表单提交，用户限时token

就是生成一个随机且变换频繁加密字符串（可逆和不可逆）。放在表单中，等到表单提交后检查。

这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦。

对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法，它的表单里常常会有post_form_id和fb_dtsg。这种方式中，字符串的有效时间要设置好，太短了用户体验不好，比如好不容易写好文章提交，令牌却到期了。不得不重写，这很糟糕的体验。因此，TTL过期时间应可设置。

下面是一个网上的不可逆的验证方式，值的推荐：

class Token{
    CONST KEY = "your-secret-salt";
    static $ttl = 3; //$ttl表示这个随机串的有效时间(秒)
    static public function get($uid, $action = -1){
        $i = ceil(time() / self::$ttl);
        return substr(self::challenge($i . $action . $uid), -12, 10);
    }
    static public function verify($uid, $crumb, $action = -1){
        $i = ceil(time() / self::$ttl);
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
            return true;
        return false;
    }
    static private function challenge($data){ //内部私有加密函数
        return hash_hmac('md5', $data, self::KEY);
    }
}

使用：

在表单中插入一个隐藏的随机串crumb，其中，$uid可以是会员的ID，这样就有独立性。

 <input type="hidden" name="crumb" value="<?php echo Token::get($uid)?>">

在PHP服务器接收端，这样检验。

<?php
if(Token::verify($uid, $_POST['token'])){
//按照正常流程处理表单
}else{
//校验失败，错误提示流程
}

摘自：http://www.vephp.com/jiaocheng/61.html