Protéger votre application avec CSRF dans Lithe

Dans ce tutoriel, nous apprendrons comment implémenter la protection CSRF (Cross-Site Request Forgery) dans Lithe pour empêcher que des requêtes indésirables ne soient adressées à votre application. Ce guide est conçu pour les débutants, nous allons donc procéder étape par étape !

---

Qu’est-ce que le CSRF ?

CSRF, ou Cross-Site Request Forgery, est un type d'attaque dans lequel un utilisateur est amené à exécuter une action non autorisée sur un site Web sur lequel il est authentifié. Cette attaque est dangereuse car l'attaquant peut manipuler des données ou accéder à des zones restreintes. Pour éviter cela, nous ajoutons une couche de sécurité qui empêche le traitement des demandes suspectes.

---

Structure du didacticiel

1. Configurer Lithe
2. Installer le middleware CSRF
3. Ajouter un jeton CSRF sur le backend
4. Vérifiez le jeton sur le backend
5. Envoyer le jeton depuis le frontend
6. Tester la protection CSRF

Commençons !

---

Étape 1 : configuration de Lithe

Si vous n'avez pas encore configuré Lithe, commencez par installer le framework avec la commande ci-dessous :

composer create-project lithephp/lithephp project-name
cd project-name

Cela crée une structure de base pour votre projet avec Lithe.

---

Étape 2 : Installation du middleware CSRF

Le middleware CSRF permet de générer et de valider les jetons CSRF. Pour l'installer, exécutez la commande suivante dans le terminal de votre projet :

composer require lithemod/csrf

---

Étape 3 : Configuration du middleware CSRF

Maintenant, nous devons dire à Lithe que nous souhaitons utiliser le middleware CSRF. Ouvrez le fichier principal src/App.php et ajoutez le middleware CSRF.

use Lithe\Middleware\Security\csrf;
use function Lithe\Orbis\Http\Router\router;

$app = new \Lithe\App;

// Configure the CSRF middleware with automatic checking in the request body
$app->use(csrf([
    'expire' => 600, // Token expiration after 10 minutes
    'checkBody' => true, // Enables automatic checking in the body
    'bodyMethods' => ['POST', 'PUT', 'DELETE'], // Defines the methods for checking CSRF in the body
]));

$app->use(router(__DIR__ . '/routes/web'));

$app->listen();

Avec cela, le middleware CSRF est actif dans notre application, et chaque demande qui nécessite une protection doit inclure un jeton valide.

---

Étape 4 : Génération du jeton CSRF

Pour utiliser la protection CSRF, nous devons générer un jeton unique et l'inclure dans les requêtes. Nous allons créer une route pour envoyer un formulaire qui inclut automatiquement le jeton CSRF.

1. Créez un fichier nommé src/routes/web.php et ajoutez la route du formulaire avec un champ pour le jeton CSRF.

use Lithe\Http\{Request, Response};
use function Lithe\Orbis\Http\Router\get;

get('/form', function (Request $req, Response $res) {
    // Generate the CSRF token field
    $tokenField = $req->csrf->getTokenField();

    // Send the HTML with the token included in the form
    return $res->send("
        <form method='POST' action='/submit'>
            $tokenField
            <input type='text' name='data' placeholder='Type something' required>
            <button type='submit'>Submit</button>
        </form>
    ");
});

1. Cette route crée un formulaire qui inclut le champ du jeton CSRF. Le champ est obligatoire pour que Lithe puisse vérifier l'authenticité de la demande.

---

Étape 5 : Vérification du jeton sur le backend

Lorsque le formulaire est soumis, Lithe vérifiera automatiquement si le jeton est valide. Maintenant, créons la route qui recevra et traitera le formulaire.

1. Dans le même fichier src/routes/web.php, ajoutez la route pour traiter la soumission du formulaire.

composer create-project lithephp/lithephp project-name
cd project-name

Si le jeton est invalide ou manquant, Lithe bloquera automatiquement la demande et renverra une erreur.

---

Étape 6 : Envoi de demandes avec le jeton CSRF

Sur le frontend, chaque fois que vous devez envoyer une requête POST (ou une autre méthode de modification des données), il est important d'inclure le jeton CSRF dans le corps de la requête ou dans l'en-tête, selon la façon dont vous avez configuré votre middleware.

Exemple avec l'API JavaScript Fetch

Pour ceux qui utilisent JavaScript, voici un exemple de la façon d'envoyer le jeton avec une requête de récupération :

composer require lithemod/csrf

---

Étape 7 : Test de la protection CSRF

1. Accédez à la route /form dans votre navigateur. Vous verrez le formulaire avec le jeton CSRF inclus.
2. Remplissez le champ et soumettez le formulaire.
3. Si tout fonctionne, vous verrez un message de réussite avec les données envoyées.

---

Résumé et considérations finales

Dans ce tutoriel, nous avons appris :

• Qu'est-ce que le CSRF et pourquoi c'est important.
• Comment configurer un middleware CSRF dans Lithe.
• Comment générer et vérifier les jetons CSRF sur le backend.
• Comment envoyer des jetons CSRF avec des formulaires et des requêtes AJAX.

Avec cette protection mise en œuvre, vous rendez votre application plus sécurisée contre les attaques CSRF, contribuant ainsi à protéger l'intégrité des données de vos utilisateurs.

Pour des informations plus détaillées, consultez la documentation officielle de Lithe.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!