迅睿CMS网站CSRF(Cross Site Request Forgery, 跨站域请求伪造)怎么办?
更新日期:2024-06-27 10:55:17 来源:网络
CSRF(Cross Site Request Forgery, 跨站域请求伪造)
跨站点请求的原理就是用户A在站点1发布上传粘贴了一个站点2的URL,用户B不明就里的点击了站点2的URL,而这个URL因为是伪装请求站点1修改密码(其它危险请求)的操作,此时用户A就已经获取了用户B的账户信息。
在xunruicms可以很方便的使用token的方式来防范这种威胁,由于这个token是我们服务端动态输出的,伪装者的服务器没法获取该值,此时我们再做好服务端验证这个token是否有效即可。
在每次进行post操作之后系统都会进行重置token值,保障token安全性。
系统开启跨站验证时,将禁止外部站的提交数据,每个form表单都必须加上函数: {dr_form_hidden()}自定义跨站验证:https://www.xunruicms.com/doc/800.html
关闭跨站验证(强烈要求不关闭,要开启):
--------------------
当无法进入后台的关闭方法:
1、打开文件cache/config/system.php
2、找到下图位置,改为0即可
- 迅睿CMS网站CSRF(Cross Site Request Forgery, 跨站域请求伪造)怎么办?
- 迅睿CMS网站禁止前端提交表单
- 迅睿CMS网站用户投稿如何取消验证码
- 迅睿CMS网站后台验证码不显示,这样会导致无法登陆后台
- 迅睿CMS网站后台入口文件不小心删除了、后台路径的名字忘记了怎么办?
- 迅睿CMS网站列表循环中调用模块附表字段(内容字段在列表显示)办?
- 迅睿CMS网站页面幻灯图片、轮播图片设置方法怎么办?
- 迅睿CMS网站离线升级插件/重下插件操作
- 迅睿CMS网站提示信息为:您的用户组不允许下载附件怎么办?
- 迅睿CMS网站icon图标不显示解决方案
- 迅睿CMS点击生成首页,提示当前网站未开启首页静态功能
- 迅睿CMS网站后台提示:系统没有安装内容模块
- 迅睿CMS网站后台提示:系统没有安装内容模块
- 迅睿CMS网站提示:您所在用户组不允许上传文件怎么办?
- 迅睿CMS网站图片专用字段怎么在show.html页面中调用?
- 迅睿CMS网站一不小心开启了https,导致网站无法打开,怎么还原成http
- 迅睿CMS网站访问模块提示您的用户组无权限访问模块怎么办?
- 迅睿CMS网站admin后台密码忘记重置方法怎么办?
- 迅睿CMS网站提示:系统未开启缓存功能怎么办?
- 迅睿CMS用户投稿提示:验证码不正确怎么办?