我在做第三方登入得時候,遇到了個問題就是我想防止CSRF攻擊,然後我加入了這樣得一段程式碼
,現在可以看到得是$_GET['state']能夠讀取得到,但是$state是NULL,然後我想是不是沒有存進去啊,然後我去第一張圖片中write之後接著read,這個時候有值得。
我之前搞過這個,你看看可以把if判斷註解掉。這是一個辦法。
另外一個辦法,就是去看看state的生成方法,他這個有點像驗證碼,可以在state生成之後保存資料庫或者session,然後生成回調的時候把state的參數加進去,驗證的時候取值同樣是取資料庫或取session來判斷回呼裡面的state參數。
大哥們,有沒有人遇到這個問題啊。
我之前搞過這個,你看看可以把if判斷註解掉。這是一個辦法。
另外一個辦法,就是去看看state的生成方法,他這個有點像驗證碼,可以在state生成之後保存資料庫或者session,然後生成回調的時候把state的參數加進去,驗證的時候取值同樣是取資料庫或取session來判斷回呼裡面的state參數。
大哥們,有沒有人遇到這個問題啊。