Comment utiliser les formulaires PHP pour empêcher les attaques de détournement d'iframe

Avec la popularité d'Internet, les problèmes de sécurité des réseaux sont devenus de plus en plus importants. Parmi eux, l’attaque par détournement d’iframe est un moyen courant d’attaque réseau. Cette méthode d'attaque charge principalement la page malveillante de l'attaquant en intégrant des balises iframe dans la page Web, atteignant ainsi l'objectif de contrôler le navigateur de l'utilisateur. Afin de prévenir les attaques de détournement d'iframe, cet article explique comment utiliser les formulaires PHP pour mettre en œuvre la prévention de la sécurité.

1. Environnement de détection

Dans le développement PHP, utilisez le code suivant pour détecter si vous êtes actuellement dans un environnement iframe :

if (isset($_SERVER['HTTP_REFERER']) && !empty($_SERVER['HTTP_REFERER'])) {
  if (strpos($_SERVER['HTTP_REFERER'], $_SERVER['HTTP_HOST']) === false) {
    //不在当前域名内，可能受到恶意攻击
  }
}

#🎜 🎜# Parmi eux, HTTP_REFERER est un champ dans l'en-tête de requête du protocole HTTP, qui est utilisé pour suivre l'adresse source de la page actuellement demandée. En déterminant si l'adresse source est le nom de domaine du site Web actuel, les attaques de détournement d'iframe peuvent être efficacement évitées.

Paramètres de transmission du formulaire

Lors de la soumission de données dans le formulaire, vous pouvez utiliser le code suivant pour filtrer et échapper les paramètres :

function check_input($data) {
  $data = trim($data);
  $data = stripslashes($data);
  $data = htmlspecialchars($data);
  return $data;
}

Pour les caractères spéciaux, tels que 95ec6993dc754240360e28e0de8de30a, ', ", &, etc., vous pouvez utiliser la fonction htmlspecialchars() pour vous échapper, évitant ainsi les failles de sécurité causées par l'incapacité d'identifier correctement ces caractères . #🎜🎜 #

Mécanisme de code de vérification

3. Afin de vérifier l'identité de l'utilisateur de manière plus sécurisée, un mécanisme de code de vérification peut être ajouté lors de la soumission du formulaire. . Le code de vérification peut augmenter la capacité de l'attaquant à craquer, améliorant ainsi la sécurité du formulaire

Le code de vérification peut être généré et vérifié via le code suivant :

session_start();
$code = '';
for ($i = 0; $i < 4; $i++) {
  $code .= rand(0, 9);
}
$_SESSION['code'] = $code;
$im = imagecreate(58, 23);
$bg_color = imagecolorallocate($im, 225, 225, 225);
$font_color = imagecolorallocate($im, 0, 0, 0);
imagestring($im, 5, 10, 4,  $code, $font_color);
header('Content-type: image/png');
imagepng($im);
imagedestroy($im);

#🎜. 🎜# Lors de la soumission du formulaire, le code suivant peut être utilisé pour le code de vérification Validation :

if ($_POST['code'] != $_SESSION['code']) {
  //验证码错误
}

Filtrage des données back-end

4. In. PHP, vous pouvez utiliser le code suivant pour filtrer et valider les données soumises par le formulaire :

$username = check_input($_POST['username']);
if (!preg_match("/^[a-zA-Z0-9_]*$/", $username)) {
  // 用户名格式错误
}

Parmi eux, la fonction preg_match() peut être utilisée pour vérifier si la chaîne saisie par l'utilisateur est conforme à l'expression régulière spécifiée. Lors de l'écriture d'expressions régulières, vous devez réfléchir de manière globale pour éviter les défauts des expressions régulières, ce qui conduit à des vulnérabilités de sécurité. Le mécanisme de code et le filtrage des données back-end nous permettent de prévenir efficacement les attaques de piratage d'iframe dans le développement PHP. En appliquant correctement les mesures de sécurité ci-dessus, nous pouvons fournir aux utilisateurs des services plus sécurisés et plus fiables

.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!