Запретить пользователям отправлять форму с использованием метода POST на определенную страницу с другого веб-сервера в PHP [duplicate]

В отношении продуктов, которые я поддерживаю, я бы сказал «нет». Генератор случайных чисел основан на rand (), который предсказуем. Кроме того, похоже, что случайное число очень короткое - оно должно быть достаточно длинным, чтобы он не мог быть грубым, принудительным во время действия сессии, и ни один из многих токенов CSRF активных сессий не был взломан.

Проверьте страницу OWASP на CSRF . Они дадут вам хорошее руководство.

Я бы сказал, что это достаточно для данной цели.

Значения, возвращаемые uniqid(mt_rand(), true), должны быть до 33 байт:

• до 10 байтов префикса из mt_rand
• 8 байтов системного времени в секундах
• 5 байт текущих микросекунд
• 10 байт из внутреннего линейного конгруэнц-генератора php_combined_lcg

Однако эти 33 байта не содержат 264 бит энтропии, но меньше:

• log2 (231-1) ≈ 31 бит для префикса mt_rand
• известно (например, поле заголовка ответа Date )
• микросекунды могут иметь только одно из 106 значений, поэтому log2 (106) ≈ 20 бит
• Значение LCG равно log2 (109) ≈ 30

Это сумма почти до 81 неизвестных бит. Для грубой силы это потребует в среднем 281/2 ≈ 1.2 · 1024 догадок, которые приводят к заданному токену при хэшировании. Данные для обработки будут приблизительно 8 · 1013 ТБ. С сегодняшним компьютером вы сможете запустить это примерно в 5.215 · 1017 секунд.

Этого должно быть достаточно, чтобы сделать атаку неосуществимой.