首页 / PHP / 给表单加token可以防暴力破解吗?
给表单加token可以防暴力破解吗?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了给表单加token可以防暴力破解吗?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1630字,纯文字阅读大概需要3分钟。
内容图文
前提:这里仅对token对防暴力破解的意义进行讨论,不涉及到其他防暴力破解措施,比如验证码等。看到很多文章都说加token可以防止暴力破解,但并没有说为什么。
据小弟的认识,给表单加token (type=“hidden”)后,这个token不管算法多厉害,但是总归会在前端源码中输出,暴力破解者仍然可以在提交认证前获取它,因此token是不是就失去了防暴力的意义了?
如果可以防止,又是什么逻辑呢? 麻烦哪位英雄指点一二。谢谢。
回复内容:
前提:这里仅对token对防暴力破解的意义进行讨论,不涉及到其他防暴力破解措施,比如验证码等。
看到很多文章都说加token可以防止暴力破解,但并没有说为什么。
据小弟的认识,给表单加token (type=“hidden”)后,这个token不管算法多厉害,但是总归会在前端源码中输出,暴力破解者仍然可以在提交认证前获取它,因此token是不是就失去了防暴力的意义了?
如果可以防止,又是什么逻辑呢? 麻烦哪位英雄指点一二。谢谢。
表单token的作用是防止重复提交和CSRF,你的思路没错,破解方只要获取到输出到token值直接提交就可以了。防暴力破解应该理解成防止自动化脚步快速请求以达到破解的目的,所以验证码类防爆破是目前的主流。
没什么用。防账号破解不如考虑一下密码3次错锁定账号15分钟之类的,虽然不去根,但是破解时间极大的延长了。当然如果你一下子锁12小时,一天能尝试6次,一年2200次,估计有生之年没希望了。
没人回答。。5555.
个人觉得,token对CSRF攻击是有效的,因为随机码给攻击者在“伪造请求”时造成了很大的困难。
token一般用于防止重复提交,用于提交后,点击浏览器刷新按钮,或者后退按钮提交,并不能解决暴力破解问题,除非再加上验证码或者速度检测
当然csrf攻击放到也是令牌的一大用处
token抓下来,接着上次的密码再继续请求就可以了 ,可以多弄几台机器,每台机器分一个区间,分布式破解
防止重复提交还行,但是弊端也很大的说,就是 防君子不防小人,给正常人增加难度而已.
大兄弟可以去看看yii2.0如何防止csrf攻击的
内容总结
以上是互联网集市为您收集整理的给表单加token可以防暴力破解吗?全部内容,希望文章能够帮你解决给表单加token可以防暴力破解吗?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。