Heim > Artikel > Backend-Entwicklung > Enthüllen Sie das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und bauen Sie ein eisernes Schutzsystem auf
Der
php-Editor Strawberry enthüllt das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und hilft Ihnen beim Aufbau eines eisernen Schutzsystems. CSRF-Angriffe stellen eine häufige Bedrohung für die Netzwerksicherheit dar. Hacker nutzen Benutzeridentitätsinformationen, um böswillige Anfragen zu senden und Schaden anzurichten. Es ist entscheidend, die Angriffsprinzipien zu verstehen und wirksame Schutzmaßnahmen zu ergreifen. In diesem Artikel wird die Funktionsweise von CSRF-Angriffen im Detail vorgestellt und praktische Schutzvorschläge bereitgestellt, die Ihnen dabei helfen, die Systemsicherheit zu stärken und Ihre Website vor potenziellen Bedrohungen zu schützen.
CSRF nutzt den Mechanismus des WEB-Browsers zur automatischen Übermittlung von Cookies. Wenn ein Benutzer eine Website besucht, die ein bösartiges Skript enthält, kann das bösartige Skript heimlich eine Anfrage an eine andere Website (die Website des Opfers) senden. Der Browser sendet automatisch Cookies an die Website des Opfers, und der Angreifer kann sich als Benutzer ausgeben, um unbefugte Vorgänge durchzuführen, z. B. das Ändern persönlicher Daten, das Überweisen von Geld oder den Kauf von Waren.
CSRF-Angriffe müssen normalerweise die folgenden Bedingungen erfüllen:
Um CSRF-Angriffe zu verhindern, können Sie folgende Maßnahmen ergreifen:
CSRF-Token ist eine zufällig generierte Zeichenfolge, die zur Überprüfung der Legitimität der Anfrage verwendet wird. Bei jeder Anfrage generiert der Server ein CSRF-Token und sendet es an den Browser. Der Browser speichert das CSRF-Token in einem Cookie und sendet es bei nachfolgenden Anfragen an den Server zurück. Nachdem der Server die Anfrage erhalten hat, prüft er, ob das CSRF-Token korrekt ist. Wenn das CSRF-Token falsch ist, wird die Anfrage gefälscht und der Server weigert sich, die Anfrage auszuführen.
Das Folgende ist ein Beispiel für die Verwendung von PHP zur Implementierung des CSRF-Tokens:
<?php // Generate a CSRF Token $csrfToken = bin2hex(random_bytes(32)); // Store the CSRF Token in a cookie setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/"); // Verify the CSRF Token if (isset($_POST["csrfToken"]) && $_POST["csrfToken"] === $_COOKIE["csrfToken"]) { // The request is legitimate, process it } else { // The request is a CSRF attack, deny it header("Http/1.1 403 Forbidden"); exit; } ?>
SameSite-Cookies sind eine neue Funktion von Browsern, die CSRF-Angriffe verhindern. SameSite-Cookies ermöglichen dem Browser nur das Senden von Cookies bei Anfragen gleicher Herkunft. Das bedeutet, dass, wenn ein Benutzer eine Website besucht, die ein bösartiges Skript enthält, das bösartige Skript keine Cookies an die Website des Opfers senden kann, wodurch CSRF-Angriffe verhindert werden.
Hier ist ein Beispiel für das Setzen von SameSite-Cookies mit PHP:
<?php // Set the SameSite attribute for the CSRF Token cookie setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/", null, null, true); ?>
CSP ist ein HTTP-Header, mit dem Website-Administratoren steuern können, welche Ressourcen der Browser laden kann. CSP kann zur Verhinderung von CSRF-Angriffen verwendet werden, da es Browser daran hindert, schädliche Skripte zu laden.
Hier ist ein Beispiel für die Einrichtung von CSP mit PHP:
<?php // Set the CSP header header("Content-Security-Policy: default-src "self""); ?>
Zusätzlich zur Verwendung der oben genannten Techniken können Benutzereingaben auch validiert werden, um CSRF-Angriffe zu verhindern. Beispielsweise können Sie bei der Verarbeitung eines vom Benutzer übermittelten Formulars prüfen, ob das Formular ein CSRF-Token enthält und ob das CSRF-Token korrekt ist.
CSRF-Angriffe sind eine häufige Sicherheitslücke im Internet, die es Angreifern ermöglicht, sich als Benutzer auszugeben und nicht autorisierte Aktionen auszuführen. Um CSRF-Angriffe zu verhindern, können verschiedene Maßnahmen ergriffen werden, z. B. die Verwendung von CSRF-Tokens, die Verwendung von SameSite-Cookies, die Verwendung von CSP und die Validierung von Benutzereingaben.
Das obige ist der detaillierte Inhalt vonEnthüllen Sie das Geheimnis hinter PHP Cross-Site Request Forgery (CSRF) und bauen Sie ein eisernes Schutzsystem auf. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!