迅睿CMS网站CSRF（Cross Site Request Forgery, 跨站域请求伪造）怎么办？

CSRF（Cross Site Request Forgery, 跨站域请求伪造）

 

跨站点请求的原理就是用户A在站点1发布上传粘贴了一个站点2的URL，用户B不明就里的点击了站点2的URL，而这个URL因为是伪装请求站点1修改密码(其它危险请求)的操作，此时用户A就已经获取了用户B的账户信息。

在xunruicms可以很方便的使用token的方式来防范这种威胁，由于这个token是我们服务端动态输出的，伪装者的服务器没法获取该值，此时我们再做好服务端验证这个token是否有效即可。

在每次进行post操作之后系统都会进行重置token值，保障token安全性。

系统开启跨站验证时，将禁止外部站的提交数据，每个form表单都必须加上函数： {dr_form_hidden()}自定义跨站验证：https://www.xunruicms.com/doc/800.html

 

关闭跨站验证（强烈要求不关闭，要开启）：

--------------------

当无法进入后台的关闭方法：

1、打开文件cache/config/system.php

2、找到下图位置，改为0即可