Maison >développement back-end >tutoriel php >Protéger votre application avec CSRF dans Lithe
Dans ce tutoriel, nous apprendrons comment implémenter la protection CSRF (Cross-Site Request Forgery) dans Lithe pour empêcher que des requêtes indésirables ne soient adressées à votre application. Ce guide est conçu pour les débutants, nous allons donc procéder étape par étape !
CSRF, ou Cross-Site Request Forgery, est un type d'attaque dans lequel un utilisateur est amené à exécuter une action non autorisée sur un site Web sur lequel il est authentifié. Cette attaque est dangereuse car l'attaquant peut manipuler des données ou accéder à des zones restreintes. Pour éviter cela, nous ajoutons une couche de sécurité qui empêche le traitement des demandes suspectes.
Commençons !
Si vous n'avez pas encore configuré Lithe, commencez par installer le framework avec la commande ci-dessous :
composer create-project lithephp/lithephp project-name cd project-name
Cela crée une structure de base pour votre projet avec Lithe.
Le middleware CSRF permet de générer et de valider les jetons CSRF. Pour l'installer, exécutez la commande suivante dans le terminal de votre projet :
composer require lithemod/csrf
Maintenant, nous devons dire à Lithe que nous souhaitons utiliser le middleware CSRF. Ouvrez le fichier principal src/App.php et ajoutez le middleware CSRF.
use Lithe\Middleware\Security\csrf; use function Lithe\Orbis\Http\Router\router; $app = new \Lithe\App; // Configure the CSRF middleware with automatic checking in the request body $app->use(csrf([ 'expire' => 600, // Token expiration after 10 minutes 'checkBody' => true, // Enables automatic checking in the body 'bodyMethods' => ['POST', 'PUT', 'DELETE'], // Defines the methods for checking CSRF in the body ])); $app->use(router(__DIR__ . '/routes/web')); $app->listen();
Avec cela, le middleware CSRF est actif dans notre application, et chaque demande qui nécessite une protection doit inclure un jeton valide.
Pour utiliser la protection CSRF, nous devons générer un jeton unique et l'inclure dans les requêtes. Nous allons créer une route pour envoyer un formulaire qui inclut automatiquement le jeton CSRF.
use Lithe\Http\{Request, Response}; use function Lithe\Orbis\Http\Router\get; get('/form', function (Request $req, Response $res) { // Generate the CSRF token field $tokenField = $req->csrf->getTokenField(); // Send the HTML with the token included in the form return $res->send(" <form method='POST' action='/submit'> $tokenField <input type='text' name='data' placeholder='Type something' required> <button type='submit'>Submit</button> </form> "); });
Lorsque le formulaire est soumis, Lithe vérifiera automatiquement si le jeton est valide. Maintenant, créons la route qui recevra et traitera le formulaire.
composer create-project lithephp/lithephp project-name cd project-name
Si le jeton est invalide ou manquant, Lithe bloquera automatiquement la demande et renverra une erreur.
Sur le frontend, chaque fois que vous devez envoyer une requête POST (ou une autre méthode de modification des données), il est important d'inclure le jeton CSRF dans le corps de la requête ou dans l'en-tête, selon la façon dont vous avez configuré votre middleware.
Pour ceux qui utilisent JavaScript, voici un exemple de la façon d'envoyer le jeton avec une requête de récupération :
composer require lithemod/csrf
Dans ce tutoriel, nous avons appris :
Avec cette protection mise en œuvre, vous rendez votre application plus sécurisée contre les attaques CSRF, contribuant ainsi à protéger l'intégrité des données de vos utilisateurs.
Pour des informations plus détaillées, consultez la documentation officielle de Lithe.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!