Sécuriser votre application avec CSRF sur Lithe

Dans ce tutoriel, nous apprendrons comment implémenter la protection CSRF (Cross-Site Request Forgery) dans Lithe, pour empêcher les requêtes indésirables d'être effectuées dans votre application. Ce guide est conçu pour les débutants, alors allons-y par parties !

---

Qu’est-ce que le CSRF ?

CSRF, ou Cross-Site Request Forgery, est un type d'attaque dans lequel un utilisateur est amené à effectuer une action non autorisée sur un site Web sur lequel il est authentifié. Cette attaque est dangereuse car l'attaquant peut manipuler des données ou accéder à des zones restreintes. Pour éviter cela, nous avons ajouté une couche de sécurité qui empêche le traitement des demandes suspectes.

---

Structure du didacticiel

1. Configurer Lithe
2. Installer le middleware CSRF
3. Ajouter le jeton CSRF dans le backend
4. Vérifiez le jeton dans le backend
5. Envoyer le jeton via Frontend
6. Tester la protection CSRF

Commençons !

---

Étape 1 : configuration de Lithe

Si Lithe n'est pas déjà configuré, commencez par installer le framework avec la commande ci-dessous :

composer create-project lithephp/lithephp nome-do-projeto
cd nome-do-projeto

Cela crée une structure de base pour votre projet Lithe.

---

Étape 2 : Installation du middleware CSRF

Le middleware CSRF permet de générer et de valider les jetons CSRF. Pour installer, exécutez la commande suivante dans le terminal de votre projet :

composer require lithemod/csrf

---

Étape 3 : configuration du middleware CSRF

Maintenant, nous devons dire à Lithe que nous souhaitons utiliser le middleware CSRF. Ouvrez le fichier principal src/App.php et ajoutez le middleware CSRF.

use Lithe\Middleware\Security\csrf;
use function Lithe\Orbis\Http\Router\router;

$app = new \Lithe\App;

// Configura o middleware CSRF com verificação automática no corpo da requisição
$app->use(csrf([
    'expire' => 600, // Expiração do token após 10 minutos
    'checkBody' => true, // Habilita a verificação automática no corpo
    'bodyMethods' => ['POST', 'PUT', 'DELETE'], // Define os métodos para verificar o CSRF no corpo
]));

$app->use(router(__DIR__ . '/routes/web'));

$app->listen();

Grâce à cela, le middleware CSRF est actif dans notre application, et chaque demande nécessitant une protection doit inclure un jeton valide.

---

Étape 4 : Génération du jeton CSRF

Pour utiliser la protection CSRF, nous devons générer un jeton unique et l'inclure dans les requêtes. Créons une route pour soumettre un formulaire qui inclut automatiquement le jeton CSRF.

1. Créez un fichier appelé src/routes/web.php et ajoutez la route du formulaire avec un champ pour le jeton CSRF.

use Lithe\Http\{Request, Response};
use function Lithe\Orbis\Http\Router\get;

get('/form', function (Request $req, Response $res) {
    // Gera o campo de token CSRF
    $tokenField = $req->csrf->getTokenField();

    // Envia o HTML com o token incluído no formulário
    return $res->send("
        <form method='POST' action='/submit'>
            $tokenField
            <input type='text' name='data' placeholder='Digite algo' required>
            <button type='submit'>Enviar</button>
        </form>
    ");
});

1. Cette route crée un formulaire qui inclut le champ du jeton CSRF. Le champ est obligatoire pour que Lithe puisse vérifier l'authenticité de la demande.

---

Étape 5 : Vérification du jeton sur le backend

Lorsque le formulaire est soumis, Lithe vérifiera automatiquement si le jeton est valide. Créons maintenant la route qui recevra et traitera le formulaire.

1. Dans le même fichier src/routes/web.php, ajoutez la route pour traiter la soumission du formulaire.

composer create-project lithephp/lithephp nome-do-projeto
cd nome-do-projeto

Si le jeton est invalide ou manquant, Lithe bloquera automatiquement la demande et renverra une erreur.

---

Étape 6 : Envoi de demandes avec le jeton CSRF

Sur le frontend, chaque fois que vous devez envoyer une requête POST (ou une autre méthode de modification de données), il est important d'inclure le jeton CSRF dans le corps ou l'en-tête de la requête, selon la façon dont vous avez configuré votre middleware.

Exemple avec l'API JavaScript Fetch

Pour ceux qui utilisent JavaScript, voici un exemple de la façon d'envoyer le jeton avec une requête de récupération :

composer require lithemod/csrf

---

Étape 7 : Test de la protection CSRF

1. Accédez à la route /form dans le navigateur. Vous verrez le formulaire avec le jeton CSRF inclus.
2. Remplissez le champ et soumettez le formulaire.
3. Si tout fonctionne, vous verrez un message de réussite avec les données envoyées.

---

Résumé et considérations finales

Dans ce tutoriel nous apprenons :

• Qu'est-ce que le CSRF et pourquoi est-il important.
• Comment configurer le middleware CSRF dans Lithe.
• Comment générer et vérifier les jetons CSRF dans le backend.
• Comment envoyer des jetons CSRF avec des formulaires et des requêtes AJAX.

Avec cette protection en place, vous rendez votre application plus sécurisée contre les attaques CSRF, contribuant ainsi à protéger l'intégrité des données de vos utilisateurs.

Pour des informations plus détaillées, consultez la documentation officielle de Lithe.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!