2024-05-11

PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南

为了防止跨站请求伪造 (csrf) 攻击,php 代码安全指南建议采取以下措施:使用 csrf 令牌、在表单中包含 csrf 令牌、验证 csrf 令牌、将 samesite 属性添加到会话 cookie。通过这些措施,可以有效保护网站免受 csrf 攻击,确保用户的操作安全可靠。

PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南

PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南

跨站请求伪造 (CSRF) 攻击是一种网络攻击,其中攻击者诱骗用户在受害网站上执行未经授权的操作。为了保护您的 PHP 代码免受 CSRF 攻击,有以下几种预防措施:

使用 CSRF 令牌

CSRF 令牌是随机生成的令牌,包含在每个 HTTP 请求中。令牌在用户会话中进行存储,并与服务器上的预期令牌进行比较。如果令牌不匹配,则请求将被拒绝。

<?php
session_start();

// 生成随机 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;
?>
登录后复制

在表单中包含 CSRF 令牌

为防止攻击者向您的表单提交伪造的请求,请将 CSRF 令牌包括在每个表单中。

<form action="submit.php" method="POST">
  <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
  <input type="submit" value="Submit">
</form>
登录后复制

验证 CSRF 令牌

在服务器端,验证每个请求中的 CSRF 令牌。如果令牌不匹配,则拒绝该请求。

<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  // 验证 CSRF 令牌
  if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
    http_response_code(400);
    echo "无效的 CSRF 令牌";
    exit;
  }
}
登录后复制

将 SameSite 属性添加到会话 Cookie

SameSite 属性可防止会话 Cookie 在跨域请求中发送,从而进一步保护您的网站免受 CSRF 攻击。

<?php
ini_set('session.cookie_samesite', 'Lax');
?>
登录后复制

实战案例:保护电子邮件地址更改表单

以下示例展示了如何在注册表中使用 CSRF 保护更改电子邮件地址的方案:

<?php
session_start();

// 生成 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;

// 显示更改电子邮件地址的表单
?>
<form action="change-email.php" method="POST">
  <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
  <input type="text" name="newEmail" placeholder="新电子邮件地址">
  <input type="submit" value="更改电子邮件地址">
</form>
<?php

// 验证 CSRF 令牌并更新电子邮件
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
    http_response_code(400);
    echo "无效的 CSRF 令牌";
    exit;
  }

  // 更新电子邮件地址
  // ...
}
登录后复制

以上就是PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南的详细内容,更多请关注php中文网其它相关文章!

https://www.php.cn/faq/786122.html

发表回复

Your email address will not be published. Required fields are marked *