防止外部post提交

lip199162

如何有效 防止外部post提交

bjbs_270

1.关掉apache(不对外网公开）
2.在提交的时候有一个验证码(干扰多和点的)

yanglei1979

不让外网访问,这个不行吧,网站都别人看不到了


我见过一些没有用验证码的,也很难POST提交过去,好象是用JS做了一个文件名转向什么的

ipaddr

简单的做法，可以根据Reference来判断，不过这个也可以造假的。

yanglei1979

http://contact.ebay.com/ws/eBayISAPI.dll

这个地址,防POST提交做得很好,可以研究下

我做了一个FORM,HTML文件,提交的话,就可以,但用 fsockopen()和curl都不太好提交过去.

bjbs_270

除了干扰足够强的图形验证方法（目前我觉得可行，但如果有足够强的ORC这个方案也无法做的到），可以说都无法真正的做到，永远不要全相信JS（客户端）的验证．

yanglei1979

楼上的说的有点不对啊

看我发的这个贴子:http://bbs.chinaunix.net/thread-1156237-1-1.html

人家没用任何验证码,你能模拟提交吗

bjbs_270

1. 
   
2. <form action="http://contact.ebay.com/ws/eBayISAPI.dll" class="nomargin" method="post" name="InlineSelfHelpWebform" style="margin: 0px; padding: 0px;"><input name="MfcISAPICommand" value="ContactUs" type="hidden"><input name="wftype" value="2023" type="hidden"><input name="rcode" value="LP=C00142" type="hidden"><input name="subject" value="Excessive shipping and handling" type="hidden"><input name="bcrumb" value="Listing Violations &gt; Listing policy violations (improper keywords, outside links, excessive shipping,&nbsp;etc) &gt; Circumvention of eBay fees &gt; Excessive shipping and handling" type="hidden">
   
3. <input type="submit" name="submit" value="Email us with your question or concern"></form>
   

复制代码

发这个FROM的所在URL

yanglei1979

原帖由 bjbs_270 于 2008-6-12 16:43 发表





发这个FROM的所在URL

http://pages.ebay.com/help/conta ... ntinue=Continue+%3E

这个地址

Dreamers

我的经验是：加一个签名。

当用户访问这个页面的时候，服务器端根据用户的一些信息，组成一个签名，然后放在post表单，提交的时候先验证这个签名，这样就很难伪造了。

重点是签名如何生成：我一般都是：时间（精确到分钟）+用户ip+个性化签名（和密码一样).....