recherche
Maisondéveloppement back-endtutoriel phpProtection CSRF en PHP

Protection CSRF en PHP

Patricia Arquette
Patricia Arquette
Dec 09, 2024 am 04:41 AM

CSRF Protection in PHP

Qu’est-ce que le CSRF ?

Cross-Site Request Forgery (CSRF) est une vulnérabilité de sécurité Web qui permet à un attaquant de tromper les utilisateurs authentifiés pour qu'ils exécutent des actions indésirables sur un site Web sur lequel ils sont actuellement connectés. L'attaque fonctionne en exploitant la confiance qu'un site Web a dans le navigateur d'un utilisateur.

Comment fonctionnent les attaques CSRF

  1. L'utilisateur se connecte au site Web légitime A et reçoit un cookie de session
  2. L'utilisateur visite le site Web malveillant B alors qu'il est encore connecté à A
  3. Le site Web B contient du code qui fait une demande au site Web A
  4. Le navigateur inclut automatiquement le cookie de session
  5. Le site Web A traite la demande en pensant qu'elle est légitime

Méthodes de protection CSRF en PHP

1. Protection basée sur des jetons utilisant une entrée cachée

C'est la méthode la plus courante. Voici comment le mettre en œuvre :

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '
'; } // In your form processing function validateCSRFToken() { if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) { die('CSRF token validation failed'); } return true; }

2. Protection CSRF à l'aide d'en-têtes personnalisés

Cette méthode utilise des requêtes AJAX avec des en-têtes personnalisés :

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});

3. Modèle de cookie à double soumission

Cette méthode consiste à envoyer le token à la fois sous forme de cookie et de paramètre de requête :

// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
    'httponly' => true,
    'secure' => true,
    'samesite' => 'Strict'
]);

// Validation function
function validateDoubleSubmitToken() {
    if (!isset($_COOKIE['csrf_token']) || 
        !isset($_POST['csrf_token']) || 
        !isset($_SESSION['csrf_token'])) {
        return false;
    }

    return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) && 
           hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}

4. Attribut du cookie SameSite

Les applications modernes peuvent également utiliser l'attribut de cookie SameSite comme couche de protection supplémentaire :

// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
    'lifetime' => 0,
    'path' => '/',
    'domain' => $_SERVER['HTTP_HOST'],
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);

Meilleures pratiques pour la protection CSRF

  1. Génération de jetons
    • Utilisez des générateurs de nombres aléatoires cryptographiquement sécurisés
    • Créez des jetons suffisamment longs (au moins 32 octets)
    • Générez de nouveaux jetons pour chaque session 
function generateSecureToken($length = 32) {
    return bin2hex(random_bytes($length));
}
  1. Validation des jetons
    • Utilisez des fonctions de comparaison sécurisées pour le timing
    • Valider la présence et la valeur du jeton
    • Mettre en œuvre une gestion appropriée des erreurs 
function validateToken($userToken, $storedToken) {
    if (empty($userToken) || empty($storedToken)) {
        return false;
    }
    return hash_equals($storedToken, $userToken);
}
  1. Mise en œuvre du formulaire
    • Inclure les jetons sous toutes les formes
    • Mettre en œuvre l'injection automatique de jetons
    • Gérer la rotation des jetons 
class CSRFProtection {
    public static function getTokenField() {
        return sprintf(
            '<input type="hidden" name="csrf_token" value="%s">',
            htmlspecialchars($_SESSION['csrf_token'])
        );
    }
}

Protection spécifique au framework

De nombreux frameworks PHP offrent une protection CSRF intégrée :

Exemple Laravel 

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '
'; } // In your form processing function validateCSRFToken() { if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) { die('CSRF token validation failed'); } return true; }

Exemple Symfony 

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});

Pièges courants à éviter

  1. N'utilisez pas de jetons prévisibles
  2. Ne stockez pas les jetons dans des variables JavaScript accessibles globalement
  3. Ne sautez pas la protection CSRF pour les requêtes AJAX
  4. Ne comptez pas uniquement sur la vérification de l'en-tête Referer
  5. N'utilisez pas le même jeton pour plusieurs formulaires

La protection CSRF est cruciale pour la sécurité des applications Web. Bien qu'il existe plusieurs approches pour mettre en œuvre la protection CSRF, l'approche basée sur des jetons utilisant des champs de formulaire masqués reste la méthode la plus largement utilisée et la plus fiable. N'oubliez pas de combiner différentes méthodes de protection pour une sécurité renforcée et suivez toujours les meilleures pratiques de sécurité lors de la mise en œuvre de la protection CSRF dans vos applications PHP.

N'oubliez pas que la protection CSRF doit faire partie d'une stratégie de sécurité plus large qui comprend une gestion appropriée des sessions, une gestion sécurisée des cookies et une validation des entrées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article connexe
Quelles données peuvent être stockées dans une session PHP?Quelles données peuvent être stockées dans une session PHP?May 02, 2025 am 12:17 AM

PhpSessionsCanstorestrings, Numbers, Arrays, Andobject.1.Strings: TextDatalikeUserames.2.Numbers: IntegersorFloatsForCounters.3.arrays: listslikeshoppingcarts.4.Objects: complexestructuresthataReSerialized.

Comment démarrez-vous une session PHP?Comment démarrez-vous une session PHP?May 02, 2025 am 12:16 AM

TostartaphpSession, usessession_start () aTTheScript'sbeginning.1) PlaceItBeForeanyOutputToSetTheSessionCooKie.2) USESSIONSFORUSERDATALIKELOGINSTATUSORSHOPPINGSCARS.3) RegegeraSesessionIdStopreventfixationAtTACKS.4)

Qu'est-ce que la régénération des sessions et comment améliore-t-elle la sécurité?Qu'est-ce que la régénération des sessions et comment améliore-t-elle la sécurité?May 02, 2025 am 12:15 AM

La régénération de session fait référence à la génération d'un nouvel ID de session et à l'invalidation de l'ancien ID lorsque l'utilisateur effectue des opérations sensibles en cas d'attaques fixes de session. Les étapes de mise en œuvre incluent: 1. Détectez les opérations sensibles, 2. Générer un nouvel ID de session, 3. Détruiser l'ancien ID de session, 4. Mettre à jour les informations de session côté utilisateur.

Quelles sont les considérations de performances lors de l'utilisation de sessions PHP?Quelles sont les considérations de performances lors de l'utilisation de sessions PHP?May 02, 2025 am 12:11 AM

Les séances PHP ont un impact significatif sur les performances des applications. Les méthodes d'optimisation incluent: 1. Utilisez une base de données pour stocker les données de session pour améliorer la vitesse de réponse; 2. Réduire l'utilisation des données de session et stocker uniquement les informations nécessaires; 3. Utilisez un processeur de session non bloquant pour améliorer les capacités de concurrence; 4. Ajustez le temps d'expiration de la session pour équilibrer l'expérience utilisateur et la charge du serveur; 5. Utilisez des séances persistantes pour réduire le nombre de données de lecture et d'écriture.

En quoi les séances PHP diffèrent-elles des cookies?En quoi les séances PHP diffèrent-elles des cookies?May 02, 2025 am 12:03 AM

PhpsessionsareServer-côté, whileCookiesareclient-Side.1) SessionStoredataontheServer, aremoresecure, ethandleLargerData.2) CookiesstoredataontheClient, ArelessSecure, andlimitedIzeSize.USESESSIONSFORSENSEDATAANDCOOKIESFORNONNORNE-SENSENSITION, Client-Sidedata.

Comment PHP identifie-t-il la session d'un utilisateur?Comment PHP identifie-t-il la session d'un utilisateur?May 01, 2025 am 12:23 AM

Phpidentifiesauser'sessionusingssse cookiesand sessionids.1) whenSession_start () est calculé, phpgeneratesauquesseSessionIdStoredInacookIenameDPhpSesssIdonUser'sbrowser.2) thisIdallowsphptoreTrrieSeSessionDatafromTeserver.

Quelles sont les meilleures pratiques pour sécuriser les séances PHP?Quelles sont les meilleures pratiques pour sécuriser les séances PHP?May 01, 2025 am 12:22 AM

La sécurité des sessions PHP peut être obtenue grâce aux mesures suivantes: 1. Utilisez Session_RegeReate_ID () pour régénérer l'ID de session lorsque l'utilisateur se connecte ou est une opération importante. 2. Cryptez l'ID de session de transmission via le protocole HTTPS. 3. Utilisez session_save_path () pour spécifier le répertoire sécurisé pour stocker les données de session et définir correctement les autorisations.

Où les fichiers de session PHP sont-ils stockés par défaut?Où les fichiers de session PHP sont-ils stockés par défaut?May 01, 2025 am 12:15 AM

PhpSessionFilesArestorentheDirectorySpecifiedSession.save_path, généralement / tmponunix-likesystemsorc: \ windows \ temponwindows.tocustomzethis: 1) usession_save_path () tosetacustomDirectory, astumeit'swrit

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

Video Face Swap

Video Face Swap

Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !

Afficher plus

Article chaud

Quoi de neuf dans Windows 11 KB5054979 et comment résoudre les problèmes de mise à jour
4 Il y a quelques semainesByDDD
Comment réparer KB5055523 ne parvient pas à s'installer dans Windows 11?
3 Il y a quelques semainesByDDD
Inzoi: Comment postuler à l'école et à l'université
1 Il y a quelques moisByDDD
Comment réparer KB5055518 ne parvient pas à s'installer dans Windows 10?
3 Il y a quelques semainesByDDD
Où trouver la clé du bureau du site dans Atomfall
4 Il y a quelques semainesByDDD
Afficher plus

Outils chauds

VSCode Windows 64 bits Télécharger

VSCode Windows 64 bits Télécharger

Un éditeur IDE gratuit et puissant lancé par Microsoft

SublimeText3 version anglaise

SublimeText3 version anglaise

Recommandé : version Win, prend en charge les invites de code !

MantisBT

MantisBT

Mantis est un outil Web de suivi des défauts facile à déployer, conçu pour faciliter le suivi des défauts des produits. Cela nécessite PHP, MySQL et un serveur Web. Découvrez nos services de démonstration et d'hébergement.

Télécharger la version Mac de l'éditeur Atom

Télécharger la version Mac de l'éditeur Atom

L'éditeur open source le plus populaire

SublimeText3 version chinoise

SublimeText3 version chinoise

Version chinoise, très simple à utiliser

Afficher plus

Sujets chauds

Où se trouve l’entrée de connexion pour la messagerie Gmail ?
7889
15
Tutoriel Java
1650
14
Tutoriel CakePHP
1411
52
Tutoriel Laravel
1302
25
Tutoriel PHP
1248
29
Afficher plus