为了防止跨站请求伪造 (csrf) 攻击,php 代码安全指南建议采取以下措施:使用 csrf 令牌、在表单中包含 csrf 令牌、验证 csrf 令牌、将 samesite 属性添加到会话 cookie。通过这些措施,可以有效保护网站免受 csrf 攻击,确保用户的操作安全可靠。
PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南
跨站请求伪造 (CSRF) 攻击是一种网络攻击,其中攻击者诱骗用户在受害网站上执行未经授权的操作。为了保护您的 PHP 代码免受 CSRF 攻击,有以下几种预防措施:
使用 CSRF 令牌
CSRF 令牌是随机生成的令牌,包含在每个 HTTP 请求中。令牌在用户会话中进行存储,并与服务器上的预期令牌进行比较。如果令牌不匹配,则请求将被拒绝。
<?php session_start(); // 生成随机 CSRF 令牌 $csrfToken = bin2hex(random_bytes(32)); $_SESSION['csrfToken'] = $csrfToken; ?>
登录后复制
在表单中包含 CSRF 令牌
为防止攻击者向您的表单提交伪造的请求,请将 CSRF 令牌包括在每个表单中。
<form action="submit.php" method="POST"> <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>"> <input type="submit" value="Submit"> </form>
登录后复制
验证 CSRF 令牌
在服务器端,验证每个请求中的 CSRF 令牌。如果令牌不匹配,则拒绝该请求。
<?php session_start(); if ($_SERVER['REQUEST_METHOD'] === 'POST') { // 验证 CSRF 令牌 if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) { http_response_code(400); echo "无效的 CSRF 令牌"; exit; } }
登录后复制
将 SameSite 属性添加到会话 Cookie
SameSite 属性可防止会话 Cookie 在跨域请求中发送,从而进一步保护您的网站免受 CSRF 攻击。
<?php ini_set('session.cookie_samesite', 'Lax'); ?>
登录后复制
实战案例:保护电子邮件地址更改表单
以下示例展示了如何在注册表中使用 CSRF 保护更改电子邮件地址的方案:
<?php session_start(); // 生成 CSRF 令牌 $csrfToken = bin2hex(random_bytes(32)); $_SESSION['csrfToken'] = $csrfToken; // 显示更改电子邮件地址的表单 ?> <form action="change-email.php" method="POST"> <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>"> <input type="text" name="newEmail" placeholder="新电子邮件地址"> <input type="submit" value="更改电子邮件地址"> </form> <?php // 验证 CSRF 令牌并更新电子邮件 if ($_SERVER['REQUEST_METHOD'] === 'POST') { if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) { http_response_code(400); echo "无效的 CSRF 令牌"; exit; } // 更新电子邮件地址 // ... }
登录后复制
以上就是PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南的详细内容,更多请关注php中文网其它相关文章!