什么是 csrf?
跨站请求伪造 (csrf) 是一种网络安全漏洞,攻击者可以利用该漏洞诱骗经过身份验证的用户在他们当前登录的网站上执行不需要的操作。该攻击通过利用网站所拥有的信任来进行在用户的浏览器中。
csrf 攻击如何运作
用户登录合法网站 a 并收到会话 cookie用户在仍登录 a 的情况下访问恶意网站 b网站 b 包含向网站 a 发出请求的代码浏览器自动包含会话 cookie网站 a 处理请求,认为其合法
php中的csrf保护方法
1. 使用隐藏输入的基于令牌的保护
这是最常用的方法。实现方法如下:
// in your session initialization (e.g., at login)session_start();if (empty($_session['csrf_token'])) { $_session['csrf_token'] = bin2hex(random_bytes(32));}// in your formfunction generateformwithcsrftoken() { return ' ';}// in your form processingfunction validatecsrftoken() { if (!isset($_post['csrf_token']) || !isset($_session['csrf_token']) || !hash_equals($_session['csrf_token'], $_post['csrf_token'])) { die('csrf token validation failed'); } return true;}
2. 使用自定义标头进行 csrf 保护
此方法使用带有自定义标头的 ajax 请求:
// php backendsession_start();if (empty($_session['csrf_token'])) { $_session['csrf_token'] = bin2hex(random_bytes(32));}// validate the tokenif ($_server['request_method'] === 'post') { $headers = getallheaders(); if (!isset($headers['x-csrf-token']) || !hash_equals($_session['csrf_token'], $headers['x-csrf-token'])) { http_response_code(403); die('csrf token validation failed'); }}// javascript frontendconst csrftoken = '';fetch('/api/endpoint', { method: 'post', headers: { 'x-csrf-token': csrftoken, 'content-type': 'application/json' }, body: json.stringify(data)});
3.双重提交cookie模式
此方法涉及将令牌作为 cookie 和请求参数发送:
// set both cookie and session tokensession_start();$token = bin2hex(random_bytes(32));$_session['csrf_token'] = $token;setcookie('csrf_token', $token, [ 'httponly' => true, 'secure' => true, 'samesite' => 'strict']);// validation functionfunction validatedoublesubmittoken() { if (!isset($_cookie['csrf_token']) || !isset($_post['csrf_token']) || !isset($_session['csrf_token'])) { return false; } return hash_equals($_cookie['csrf_token'], $_post['csrf_token']) && hash_equals($_session['csrf_token'], $_post['csrf_token']);}
4. samesite cookie 属性
现代应用程序还可以使用 samesite cookie 属性作为附加保护层:
// set cookie with samesite attributesession_start();session_set_cookie_params([ 'lifetime' => 0, 'path' => '/', 'domain' => $_server['http_host'], 'secure' => true, 'httponly' => true, 'samesite' => 'strict']);
csrf 保护的最佳实践
代币生成使用加密安全的随机数生成器使令牌足够长(至少 32 字节)为每个会话生成新的代币
function generatesecuretoken($length = 32) { return bin2hex(random_bytes($length));}
令牌验证使用时序安全的比较函数验证代币的存在和价值实施正确的错误处理
function validatetoken($usertoken, $storedtoken) { if (empty($usertoken) || empty($storedtoken)) { return false; } return hash_equals($storedtoken, $usertoken);}
表单实施包含所有形式的代币实现自动令牌注入处理令牌轮换
class csrfprotection { public static function gettokenfield() { return sprintf( '', htmlspecialchars($_session['csrf_token']) ); }}
特定于框架的保护
许多 php 框架提供内置的 csrf 保护:
laravel 示例
// in your form@csrf// manual token generation{{ csrf_field() }}
交响乐示例
// In your form{{ csrf_token('form_name') }}
要避免的常见陷阱
不要使用可预测的标记不要将令牌存储在全局可访问的 javascript 变量中不要跳过 ajax 请求的 csrf 保护不要仅仅依赖于检查 referer 标头不要在多个表单中使用相同的令牌
csrf 保护对于 web 应用程序安全至关重要。虽然实现 csrf 保护的方法有多种,但使用隐藏表单字段的基于令牌的方法仍然是使用最广泛、最可靠的方法。请记住结合不同的保护方法以增强安全性,并在 php 应用程序中实施 csrf 保护时始终遵循安全最佳实践。
请记住,csrf 保护应该是更广泛的安全策略的一部分,其中包括适当的会话管理、安全 cookie 处理和输入验证。
立即学习“PHP免费学习笔记(深入)”;
以上就是PHP 中的 CSRF 保护的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1251937.html
微信扫一扫 
支付宝扫一扫 
