Wie man mit Cross-Site-Request-Forgery in der PHP-Entwicklung umgeht

Wie man mit Cross-Site-Request-Forgery in der PHP-Entwicklung umgeht

Einführung: Mit der rasanten Entwicklung des Internets sind Website-Sicherheitsprobleme immer wichtiger geworden. Eines davon ist das Problem der Cross-Site Request Forgery (CSRF). In diesem Artikel wird erläutert, wie CSRF-Angriffe in der PHP-Entwicklung effektiv gehandhabt werden, und es werden konkrete Codebeispiele bereitgestellt.

1. Was ist Cross-Site-Request-Forgery?
   Cross-Site Request Forgery (CSRF) ist eine Angriffsmethode, bei der Angreifer Benutzer dazu verleiten, böswillige Vorgänge auf angemeldeten Websites durchzuführen, z. B. Geld zu überweisen, persönliche Daten zu ändern usw. Normalerweise nutzen Angreifer den Anmeldestatus des Benutzers aus, um böswillige Anfragen an eine andere Website zu senden und Vorgänge auszuführen, die die Identität des Benutzers vortäuschen.
2. Gemeinsame Methoden zur Verhinderung von CSRF-Angriffen
   (1) Zufälliges Generieren eines Tokens
   Wenn sich der Benutzer anmeldet, generieren Sie ein zufälliges Token für den Benutzer und speichern Sie es auf der Serverseite und in der Sitzung des Benutzers. Bei jeder Benutzeranfrage muss das Token in der Anfrage enthalten sein und auf der Serverseite überprüft werden. Da der Token zufällig generiert wird, kann der Angreifer den korrekten Tokenwert nicht erraten, wodurch CSRF-Angriffe verhindert werden.

Der Beispielcode lautet wie folgt:

// 在用户登录时生成Token，并存储在Session中
session_start();
if (!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// 将Token添加到表单中
<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">

// 在服务器端验证Token
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        die('CSRF攻击检测');
    }
}

(2) Legen Sie das SameSite-Cookie-Attribut fest
In den neuesten Browsern kann das SameSite-Attribut des Cookies festgelegt werden, um CSRF-Angriffe zu verhindern. Der Wert des SameSite-Attributs kann auf „Strict“, „Lax“ oder „None“ festgelegt werden. Streng bedeutet, dass Cookies nur gesendet werden können, wenn eine Anfrage von derselben Website erfolgt, während Lax bedeutet, dass Cookies unter bestimmten Umständen gesendet werden dürfen (z. B. beim Klicken auf einen Link von einer externen Website). „Keine“ bedeutet, dass das Cookie unter allen Umständen gesendet werden kann, was zu Sicherheitsproblemen führen kann.

Der Beispielcode lautet wie folgt:

setcookie('session_id', session_id(), [
    'expires' => 0,
    'path' => '/',
    'domain' => 'your_domain.com',
    'secure' => true,  // 只能通过HTTPS发送
    'httponly' => true,  // 无法通过JavaScript访问
    'samesite' => 'Strict'
]);

3. Andere Hinweise
   (1) HTTPS-Protokoll verwenden
   Die Verwendung des HTTPS-Protokolls kann sicherstellen, dass die Anfrage und Antwort zwischen dem Benutzer und dem Server verschlüsselt sind, wodurch verhindert wird, dass die Anfrage gekapert wird von Mittelsmännern manipuliert.

(2) Aktualisieren Sie Back-End-Frameworks und -Bibliotheken rechtzeitig.
Durch häufiges Aktualisieren der Versionen von Back-End-Frameworks und -Bibliotheken kann die Sicherheit des Codes gewährleistet und verhindert werden, dass bekannte Sicherheitslücken von Angreifern ausgenutzt werden.

(3) Angemessene Berechtigungskontrolle
Geben Sie jedem Benutzer Mindestberechtigungen, um zu verhindern, dass Benutzer außerhalb ihrer Befugnisse agieren.

Fazit: Cross-Site Request Forgery (CSRF) ist ein häufiges Netzwerksicherheitsproblem. Durch die zufällige Generierung von Token und das Festlegen von SameSite-Cookie-Attributen können wir CSRF-Angriffe wirksam verhindern. Gleichzeitig sind die Aufrechterhaltung der Codesicherheit und eine angemessene Berechtigungskontrolle wichtige Maßnahmen zur Verhinderung von CSRF-Angriffen.

Gesamtwortzahl: 714 Wörter

Das obige ist der detaillierte Inhalt vonWie man mit Cross-Site-Request-Forgery in der PHP-Entwicklung umgeht. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!