PHP 中的 CSRF 保护

百变鹏仔 3天前 #PHP

文章标签 PHP

什么是 csrf？

跨站请求伪造 (csrf) 是一种网络安全漏洞，攻击者可以利用该漏洞诱骗经过身份验证的用户在他们当前登录的网站上执行不需要的操作。该攻击通过利用网站所拥有的信任来进行在用户的浏览器中。

csrf 攻击如何运作

用户登录合法网站 a 并收到会话 cookie
用户在仍登录 a 的情况下访问恶意网站 b
网站 b 包含向网站 a 发出请求的代码
浏览器自动包含会话 cookie
网站 a 处理请求，认为其合法

php中的csrf保护方法

1. 使用隐藏输入的基于令牌的保护

这是最常用的方法。实现方法如下：

// in your session initialization (e.g., at login)session_start();if (empty($_session['csrf_token'])) {    $_session['csrf_token'] = bin2hex(random_bytes(32));}// in your formfunction generateformwithcsrftoken() {    return '<form method="post" action="/submit">        <input type="hidden" name="csrf_token" value="' . $_session['csrf_token'] . '">        <!-- rest of your form fields -->        <input type="submit" value="submit">    </form>';}// in your form processingfunction validatecsrftoken() {    if (!isset($_post['csrf_token']) || !isset($_session['csrf_token']) ||        !hash_equals($_session['csrf_token'], $_post['csrf_token'])) {        die('csrf token validation failed');    }    return true;}

2. 使用自定义标头进行 csrf 保护

此方法使用带有自定义标头的 ajax 请求：

// php backendsession_start();if (empty($_session['csrf_token'])) {    $_session['csrf_token'] = bin2hex(random_bytes(32));}// validate the tokenif ($_server['request_method'] === 'post') {    $headers = getallheaders();    if (!isset($headers['x-csrf-token']) ||         !hash_equals($_session['csrf_token'], $headers['x-csrf-token'])) {        http_response_code(403);        die('csrf token validation failed');    }}// javascript frontendconst csrftoken = '<?php echo $_session["csrf_token"]; ?>';fetch('/api/endpoint', {    method: 'post',    headers: {        'x-csrf-token': csrftoken,        'content-type': 'application/json'    },    body: json.stringify(data)});

3.双重提交cookie模式

此方法涉及将令牌作为 cookie 和请求参数发送：

// set both cookie and session tokensession_start();$token = bin2hex(random_bytes(32));$_session['csrf_token'] = $token;setcookie('csrf_token', $token, [    'httponly' => true,    'secure' => true,    'samesite' => 'strict']);// validation functionfunction validatedoublesubmittoken() {    if (!isset($_cookie['csrf_token']) ||         !isset($_post['csrf_token']) ||         !isset($_session['csrf_token'])) {        return false;    }    return hash_equals($_cookie['csrf_token'], $_post['csrf_token']) &&            hash_equals($_session['csrf_token'], $_post['csrf_token']);}

4. samesite cookie 属性

现代应用程序还可以使用 samesite cookie 属性作为附加保护层：

// set cookie with samesite attributesession_start();session_set_cookie_params([    'lifetime' => 0,    'path' => '/',    'domain' => $_server['http_host'],    'secure' => true,    'httponly' => true,    'samesite' => 'strict']);

csrf 保护的最佳实践

代币生成

function generatesecuretoken($length = 32) {    return bin2hex(random_bytes($length));}

令牌验证

function validatetoken($usertoken, $storedtoken) {    if (empty($usertoken) || empty($storedtoken)) {        return false;    }    return hash_equals($storedtoken, $usertoken);}

表单实施

class csrfprotection {    public static function gettokenfield() {        return sprintf(            '<input type="hidden" name="csrf_token" value="%s">',            htmlspecialchars($_session['csrf_token'])        );    }}

特定于框架的保护

许多 php 框架提供内置的 csrf 保护：

laravel 示例

// in your form@csrf// manual token generation{{ csrf_field() }}

交响乐示例

// In your form{{ csrf_token('form_name') }}

要避免的常见陷阱

不要使用可预测的标记
不要将令牌存储在全局可访问的 javascript 变量中
不要跳过 ajax 请求的 csrf 保护
不要仅仅依赖于检查 referer 标头
不要在多个表单中使用相同的令牌

csrf 保护对于 web 应用程序安全至关重要。虽然实现 csrf 保护的方法有多种，但使用隐藏表单字段的基于令牌的方法仍然是使用最广泛、最可靠的方法。请记住结合不同的保护方法以增强安全性，并在 php 应用程序中实施 csrf 保护时始终遵循安全最佳实践。

请记住，csrf 保护应该是更广泛的安全策略的一部分，其中包括适当的会话管理、安全 cookie 处理和输入验证。

立即学习“PHP免费学习笔记（深入）”；

文章推荐