Tema: token csrf
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 18/02/2013, 17:31
Blashak
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 17 años
Puntos: 2
token csrf

Buenas,

Para prevenir los ataques csrf en los formularios inserto token con un tiempo de tres minutos. Queria insertar el token en el nuevo sistema de comentario que programe, pero, después me puse a pensar que si pasan los tres minutos tendrán que refrescar la web y esto puede volverse un poco pesado. Alguien sabe otra forma que pueda hacerlo.

Codigo token:

Código PHP:
Ver original
  1. session_start();
  2. $token = md5(uniqid(rand(), TRUE));
  3. $_SESSION['token'] = $token;
  4. $_SESSION['token_time'] = time();
  5.  
  6. esto va en el formulario
  7. <input type="hidden" name="token" value="<?php echo $token; ?>" />
  8.  
  9.  
  10. //pagina que valida
  11.  
  12. if (isset($_SESSION['token']) &&
  13. $_POST['token'] == $_SESSION['token'])
  14. {
  15. //token es valido
  16. }


un saludo