聯(lián)系官方銷售客服
1835022288
028-61286886
CSRF(Cross Site Request Forgery, 跨站域請求偽造)
跨站點請求的原理就是用戶A在站點1發(fā)布上傳粘貼了一個站點2的URL,用戶B不明就里的點擊了站點2的URL,而這個URL因為是偽裝請求站點1修改密碼(其它危險請求)的操作,此時用戶A就已經(jīng)獲取了用戶B的賬戶信息。
在xunruicms可以很方便的使用token的方式來防范這種威脅,由于這個token是我們服務(wù)端動態(tài)輸出的,偽裝者的服務(wù)器沒法獲取該值,此時我們再做好服務(wù)端驗證這個token是否有效即可。
在每次進(jìn)行post操作之后系統(tǒng)都會進(jìn)行重置token值,保障token安全性。
系統(tǒng)開啟跨站驗證時,將禁止外部站的提交數(shù)據(jù),每個form表單都必須加上函數(shù):
自定義跨站驗證:http://www.zbshanke.com/doc/800.html
關(guān)閉跨站驗證(強(qiáng)烈要求不關(guān)閉,要開啟):
系統(tǒng)設(shè)置-安全設(shè)置-CSRF驗證:關(guān)閉
--------------------
當(dāng)無法正常操作后臺的關(guān)閉方法:
1、打開文件cache/config/system.php
2、找到下圖位置,改為0即可
本文地址:http://www.zbshanke.com/doc/724.html
技術(shù)求助:不會操作怎么辦?點擊前往技術(shù)求助!
文檔修改:
文檔有誤、不完善、我來提醒官方修改此文檔(2)