防止外部post提交

lip199162

如何有效 防止外部post提交

zjq8188

原帖由 ipaddr 于 2008-6-13 16:26 发表


Session没啥用，抓到你的Session ID后，完全可以模拟客户端的。

能抓到验证码吗？

ipaddr

原帖由 yanglei1979 于 2008-6-13 12:56 发表

session根本就不用绕

Session没啥用，抓到你的Session ID后，完全可以模拟客户端的。

yanglei1979

原帖由 sunnyfun 于 2008-6-13 10:12 发表

既然都能绕过SESSION了，那验证码也危险了

session根本就不用绕

sunnyfun

原帖由 yanglei1979 于 2008-6-13 09:21 发表

只用SESSION,不用验证码,照样不行

既然都能绕过SESSION了，那验证码也危险了

yanglei1979

原帖由 bjbs_270 于 2008-6-12 23:04 发表
下面的URL是不是登录后的URL
http://pages.ebay.com/help/conta ... 3-video-fm-voice-pl ...

这个URL不用登录也能看到

只不过从这里提交过去以后,你不登录的话,就要登录

在这个页面点击:Email Us  这个链接,实际上是激活一个FORM提交动作

现在就是要模拟这个FORM提交动作

我拆出来的FORM,也是从这个页面拆出来的

yanglei1979

原帖由 7717060 于 2008-6-12 20:18 发表

用session不就行了？

只用SESSION,不用验证码,照样不行

bjbs_270

下面的URL是不是登录后的URL

1. http://pages.ebay.com/help/contact_us/_base/Excessive_shipping_and_handling.html?item=380032645037&dsturl=http%3A%2F%2Fcgi.ebay.com%2F2gb-1-8-mp4-mp3-video-fm-voice-player-silver-warranty_w0qqitemz380032645037qqihz025qqcategoryz98410qqsspagenamezwdvwqqrdz1qqcmdzviewitem&tier0=%5Bobject+Object%5D&tier1=%5Bobject+Object%5D&tier2=Excessive_shipping_and_handling&continue=Continue+%3E

复制代码

Dreamers

原帖由 7717060 于 2008-6-12 20:18 发表

用session不就行了？

session怎么做？

7717060

原帖由 Dreamers 于 2008-6-12 19:29 发表
我的经验是：加一个签名。

当用户访问这个页面的时候，服务器端根据用户的一些信息，组成一个签名，然后放在post表单，提交的时候先验证这个签名，这样就很难伪造了。

重点是签名如何生成：我一般都是：时 ...

用session不就行了？