Qu’est-ce que le CSRF ?
Cross-Site Request Forgery (CSRF) est une vulnérabilité de sécurité Web qui permet à un attaquant de tromper les utilisateurs authentifiés pour qu'ils exécutent des actions indésirables sur un site Web sur lequel ils sont actuellement connectés. L'attaque fonctionne en exploitant la confiance qu'un site Web a dans le navigateur d'un utilisateur.
Comment fonctionnent les attaques CSRF
- L'utilisateur se connecte au site Web légitime A et reçoit un cookie de session
- L'utilisateur visite le site Web malveillant B alors qu'il est encore connecté à A
- Le site Web B contient du code qui fait une demande au site Web A
- Le navigateur inclut automatiquement le cookie de session
- Le site Web A traite la demande en pensant qu'elle est légitime
Méthodes de protection CSRF en PHP
1. Protection basée sur des jetons utilisant une entrée cachée
C'est la méthode la plus courante. Voici comment le mettre en œuvre :
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '
';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
2. Protection CSRF à l'aide d'en-têtes personnalisés
Cette méthode utilise des requêtes AJAX avec des en-têtes personnalisés :
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
3. Modèle de cookie à double soumission
Cette méthode consiste à envoyer le token à la fois sous forme de cookie et de paramètre de requête :
// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
'httponly' => true,
'secure' => true,
'samesite' => 'Strict'
]);
// Validation function
function validateDoubleSubmitToken() {
if (!isset($_COOKIE['csrf_token']) ||
!isset($_POST['csrf_token']) ||
!isset($_SESSION['csrf_token'])) {
return false;
}
return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) &&
hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}
4. Attribut du cookie SameSite
Les applications modernes peuvent également utiliser l'attribut de cookie SameSite comme couche de protection supplémentaire :
// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
'lifetime' => 0,
'path' => '/',
'domain' => $_SERVER['HTTP_HOST'],
'secure' => true,
'httponly' => true,
'samesite' => 'Strict'
]);
Meilleures pratiques pour la protection CSRF
-
Génération de jetons
- Utilisez des générateurs de nombres aléatoires cryptographiquement sécurisés
- Créez des jetons suffisamment longs (au moins 32 octets)
- Générez de nouveaux jetons pour chaque session
function generateSecureToken($length = 32) {
return bin2hex(random_bytes($length));
}
-
Validation des jetons
- Utilisez des fonctions de comparaison sécurisées pour le timing
- Valider la présence et la valeur du jeton
- Mettre en œuvre une gestion appropriée des erreurs
function validateToken($userToken, $storedToken) {
if (empty($userToken) || empty($storedToken)) {
return false;
}
return hash_equals($storedToken, $userToken);
}
-
Mise en œuvre du formulaire
- Inclure les jetons sous toutes les formes
- Mettre en œuvre l'injection automatique de jetons
- Gérer la rotation des jetons
class CSRFProtection {
public static function getTokenField() {
return sprintf(
'<input type="hidden" name="csrf_token" value="%s">',
htmlspecialchars($_SESSION['csrf_token'])
);
}
}
Protection spécifique au framework
De nombreux frameworks PHP offrent une protection CSRF intégrée :
Exemple Laravel
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '
';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
Exemple Symfony
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
Pièges courants à éviter
- N'utilisez pas de jetons prévisibles
- Ne stockez pas les jetons dans des variables JavaScript accessibles globalement
- Ne sautez pas la protection CSRF pour les requêtes AJAX
- Ne comptez pas uniquement sur la vérification de l'en-tête Referer
- N'utilisez pas le même jeton pour plusieurs formulaires
La protection CSRF est cruciale pour la sécurité des applications Web. Bien qu'il existe plusieurs approches pour mettre en œuvre la protection CSRF, l'approche basée sur des jetons utilisant des champs de formulaire masqués reste la méthode la plus largement utilisée et la plus fiable. N'oubliez pas de combiner différentes méthodes de protection pour une sécurité renforcée et suivez toujours les meilleures pratiques de sécurité lors de la mise en œuvre de la protection CSRF dans vos applications PHP.
N'oubliez pas que la protection CSRF doit faire partie d'une stratégie de sécurité plus large qui comprend une gestion appropriée des sessions, une gestion sécurisée des cookies et une validation des entrées.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Travailler avec les données de session Flash dans LaravelMar 12, 2025 pm 05:08 PMLaravel simplifie la gestion des données de session temporaires à l'aide de ses méthodes de flash intuitives. Ceci est parfait pour afficher de brefs messages, alertes ou notifications dans votre application. Les données ne persistent que pour la demande ultérieure par défaut: $ demande-
Curl dans PHP: Comment utiliser l'extension PHP Curl dans les API RESTMar 14, 2025 am 11:42 AML'extension PHP Client URL (CURL) est un outil puissant pour les développeurs, permettant une interaction transparente avec des serveurs distants et des API REST. En tirant parti de Libcurl, une bibliothèque de transfert de fichiers multi-protocol très respectée, PHP Curl facilite Efficient Execu
PHP Logging: meilleures pratiques pour l&#39;analyse du journal PHPMar 10, 2025 pm 02:32 PMLa journalisation PHP est essentielle pour surveiller et déboguer les applications Web, ainsi que pour capturer des événements critiques, des erreurs et un comportement d'exécution. Il fournit des informations précieuses sur les performances du système, aide à identifier les problèmes et prend en charge le dépannage plus rapide
Misque de réponse HTTP simplifié dans les tests LaravelMar 12, 2025 pm 05:09 PMLaravel fournit une syntaxe de simulation de réponse HTTP concise, simplifiant les tests d'interaction HTTP. Cette approche réduit considérablement la redondance du code tout en rendant votre simulation de test plus intuitive. L'implémentation de base fournit une variété de raccourcis de type de réponse: Utiliser illuminate \ support \ faades \ http; Http :: faux ([[ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>
12 meilleurs scripts de chat PHP sur CodecanyonMar 13, 2025 pm 12:08 PMVoulez-vous fournir des solutions instantanées en temps réel aux problèmes les plus pressants de vos clients? Le chat en direct vous permet d'avoir des conversations en temps réel avec les clients et de résoudre leurs problèmes instantanément. Il vous permet de fournir un service plus rapide à votre personnalité
Expliquez le concept de liaison statique tardive en PHP.Mar 21, 2025 pm 01:33 PML'article traite de la liaison statique tardive (LSB) dans PHP, introduite dans PHP 5.3, permettant une résolution d'exécution de la méthode statique nécessite un héritage plus flexible. Problème main: LSB vs polymorphisme traditionnel; Applications pratiques de LSB et perfo potentiel
Frameworks de personnalisation / d'extension: comment ajouter des fonctionnalités personnalisées.Mar 28, 2025 pm 05:12 PML'article examine l'ajout de fonctionnalités personnalisées aux cadres, en se concentrant sur la compréhension de l'architecture, l'identification des points d'extension et les meilleures pratiques pour l'intégration et le débogage.
Erreur de transfert SDK Alipay PHP: comment résoudre le problème de 'Impossible de déclarer la classe SignData'?Apr 01, 2025 am 07:21 AMAlipay Php ...
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
mPDF
mPDF est une bibliothèque PHP qui peut générer des fichiers PDF à partir de HTML encodé en UTF-8. L'auteur original, Ian Back, a écrit mPDF pour générer des fichiers PDF « à la volée » depuis son site Web et gérer différentes langues. Il est plus lent et produit des fichiers plus volumineux lors de l'utilisation de polices Unicode que les scripts originaux comme HTML2FPDF, mais prend en charge les styles CSS, etc. et présente de nombreuses améliorations. Prend en charge presque toutes les langues, y compris RTL (arabe et hébreu) et CJK (chinois, japonais et coréen). Prend en charge les éléments imbriqués au niveau du bloc (tels que P, DIV),
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Dreamweaver Mac
Outils de développement Web visuel
Version crackée d'EditPlus en chinois
Petite taille, coloration syntaxique, ne prend pas en charge la fonction d'invite de code
Navigateur d'examen sécurisé
Safe Exam Browser est un environnement de navigation sécurisé permettant de passer des examens en ligne en toute sécurité. Ce logiciel transforme n'importe quel ordinateur en poste de travail sécurisé. Il contrôle l'accès à n'importe quel utilitaire et empêche les étudiants d'utiliser des ressources non autorisées.
