问题描述
我目前正在为我的项目使用 Apache 服务器作为 Wamp 应用程序。在进行安全扫描时,报告出现了 2 个错误:
- 服务器通过“X-Powered-By”HTTP 响应头字段泄漏信息
- 没有反 CSRF 令牌
解决方法
这里有一个帮助,您可以实现 csrf 令牌: https://code-boxx.com/simple-csrf-token-php/
您可以在此处阅读有关什么是 csrf 令牌以及它为何有用的更多信息:https://portswigger.net/web-security/csrf/tokens
CSRF 令牌是一个独特的、秘密的、不可预测的值,它是 由服务器端应用程序生成并传输到客户端 以这样的方式将其包含在由以下人员发出的后续 HTTP 请求中 客户端。当后面的请求发出时,服务器端 应用程序验证请求是否包含预期的令牌和 如果令牌丢失或无效,则拒绝请求。
CSRF 令牌可以防止 CSRF 攻击 攻击者构造一个完全有效的 HTTP 请求适合喂食 给受害者用户。由于攻击者无法确定或预测 用户的 CSRF 令牌的值,他们不能构造一个请求 应用程序必须遵守的参数 请求。
为了删除 X-Powered-By,您可以在 expose_php = off 文件中设置 php.ini