Comment éviter les attaques de falsification de requêtes intersites dans le développement du langage PHP ?

Dans l'environnement actuel de menace pour la sécurité des réseaux, les attaques CSRF (cross-site request forgery) sont une méthode d'attaque très courante. Cette méthode d'attaque exploite les vulnérabilités du système et incite les utilisateurs à effectuer des opérations spécifiques à leur insu, atteignant ainsi l'objectif de l'attaquant. Pour le développement du langage PHP, comment éviter les attaques CSRF est devenu une tâche très importante.

Principe d'attaque CSRF

Tout d'abord, comprenons le principe de l'attaque CSRF. L'attaque CSRF est essentiellement une méthode d'attaque qui utilise les informations d'authentification de l'identité de l'utilisateur. Les attaquants ciblent généralement une page ou une opération spécifique, telle qu'une opération de transfert sur un site Web, construisent une requête malveillante pour l'opération, puis envoient la requête à l'utilisateur d'une manière ou d'une autre. Lorsqu'un utilisateur effectue cette opération à son insu, des requêtes malveillantes peuvent être exécutées, entraînant des pertes pour l'utilisateur.

Dans le développement du langage PHP, éviter les attaques de falsification de requêtes intersites implique généralement les trois aspects suivants.

1. Vérification des jetons

La vérification des jetons est un moyen courant de prévenir les attaques CSRF. De cette façon, le serveur génère un jeton aléatoire dans la page et le stocke dans la session. Lorsqu'un utilisateur soumet un formulaire, etc., le serveur vérifie si les données soumises contiennent le jeton correct. Si le jeton correct est inclus, l'opération sera effectuée. Si le jeton correct n'est pas inclus, le serveur rejettera l'opération.

Dans le développement du langage PHP, vous pouvez utiliser le code suivant pour générer un jeton aléatoire :

$token = uniqid(rand(), true);
$_SESSION['csrf_token'] = $token;

Lors de la soumission d'un formulaire et d'autres opérations, vous pouvez utiliser le code suivant pour vérifier le token :

if($_SESSION['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

2. Vérification du référent

La vérification du référent est un moyen simple mais peu fiable de se protéger contre les attaques CSRF. Dans cette approche, le serveur vérifie l'en-tête Referer de chaque requête pour s'assurer que la requête provient du même site. Le problème avec cette approche est que l'en-tête Referer peut être falsifié par un attaquant, provoquant l'échec de la vérification.

Dans le développement du langage PHP, vous pouvez utiliser le code suivant pour obtenir l'entête Referer de la requête en cours :

$referer = $_SERVER['HTTP_REFERER'];

3. Cookie Verification
#🎜 🎜## 🎜🎜 La vérification des #Cookies est un moyen légèrement plus complexe mais fiable de se protéger contre les attaques CSRF. Dans cette méthode, le serveur définit un identifiant aléatoire, appelé jeton CSRF, dans le cookie de l'utilisateur lorsque celui-ci visite la page. Ensuite, lorsque l'utilisateur effectue une action, le serveur vérifie que la requête contient le bon jeton CSRF.

Dans le développement du langage PHP, vous pouvez utiliser le code suivant pour définir le jeton CSRF :

if(empty($_SESSION['csrf_token'])){
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
$csrfToken = $_SESSION['csrf_token'];
setcookie('csrf_token', $csrfToken, time() + 3600, '/', '', false, true);

Lors de la soumission d'un formulaire et d'autres opérations, vous pouvez utiliser le code suivant pour vérifier le jeton CSRF :

if($_COOKIE['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

Summary

Dans le développement du langage PHP, éviter les attaques de falsification de requêtes intersites est une tâche très importante. La vérification des jetons, la vérification des référents et la vérification des cookies sont trois moyens courants de prévenir les attaques CSRF. Pour les développeurs, des méthodes de vérification appropriées doivent être sélectionnées en fonction de scénarios commerciaux réels pour garantir la sécurité du système.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!