1 用户权限认证后获取服务端的token,将token存入客户端cookie中。
2 将cookie放入客户端请求页面的头部信息 X-CSRF-TOKEN中
示例代码
<!doctype html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="csrf-token" content="abcd">
<title>Document</title>
</head>
<body>
<script src="//cdn.bootcss.com/jquery/2.2.1/jquery.js">
</script>
<script>
$(function(){
alert('ready');
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$.post('test_token.php',{username:"lilu"},function(){
alert('back');
});
});
</script>
</body>
</html>
3 服务端验证token
function get_all_headers() {
$headers = array();
foreach($_SERVER as $key => $value) {
if(substr($key, 0, 5) === 'HTTP_') {
$key = substr($key, 5);
$key = strtolower($key);
$key = str_replace('_', ' ', $key);
$key = ucwords($key);
$key = str_replace(' ', '-', $key);
$headers[$key] = $value;
}
}
return $headers;
}
$a=get_all_headers();
if($a['X-Csrf-Token']=="abcd"){
echo json_encode(['message'=>'ok']);
}else{
echo json_encode(['message'=>'failed']);
}
如果怕token不安全,比如cookie的存储时间过长,被搜索引擎或者黑客截获。 那么可以在服务端增加对客户端请求地址来源(HTTP_ORIGIN)的判断,给反馈结果加上Access-Control-Allow-Origin的头部信息,从而阻止客户端对结果的读取。
其实怕token直接显示在url上被搜索引擎收录这个问题,只要我们不要把token写在url上,而是像上面的例子写在头部信息 X-CSRF-TOKEN
中就能破。
针对cookie可能被黑客截获的情况 代码大概如下
$http_origin_allow=['http://www.xxx.com','http://www.xxx.net'];
$http_origin = $_SERVER['HTTP_ORIGIN'];
$j=count($http_origin_allow);
for($i=0;$i<$j;$i++){
if($http_origin==$http_origin_allow[$i]){
header("Access-Control-Allow-Origin: $http_origin");
}
}
那如果客户端对HTTP_ORIGIN 的值做了伪造怎么办? 这个嘛 我自己尝试去伪造 发现好像不能伪造,实在要是有高手能伪造成功,那么就使出终极大招封IP呗,宁可错杀一万,不可放过一个。
另一问题是 如果我希望我的API是公开被调用的,但是对每个IP的调用次数有个限制,那么就根据客户端的IP来控制调用次数即可 ,那么如果客户端的IP也是伪造的并且不断变化呢 ? 这个嘛 还没有想到怎么破 ,比较强硬的手段就是封锁ip。