Éliminez la menace CSRF : le guide ultime pour prévenir PHP

Éditeur PHP Apple vous propose le guide ultime « Tuer les menaces CSRF : comment prévenir PHP ». CSRF (Cross-Site Request Forgery) est une menace de sécurité réseau courante qui utilise les identités des utilisateurs pour effectuer des opérations non autorisées. Ce guide explorera en profondeur les principes, les impacts et les méthodes de prévention des attaques CSRF, et fournira des solutions de prévention complètes et des conseils pratiques pour vous aider à protéger efficacement votre site Web contre les attaques CSRF. Lisez maintenant pour améliorer la sécurité de votre site Web !

Comment ça marche ?

Les attaques CSRF reposent sur les conditions suivantes :

1. La victime et l'attaquant sont connectés au même site Web.
2. La victime dispose des autorisations pour l'action que l'attaquant souhaite effectuer.
3. Un attaquant peut inciter une victime à cliquer sur un lien malveillant ou à ouvrir un site Web malveillant.

Lorsque ces conditions sont remplies, l'attaquant peut créer des requêtes malveillantes et inciter la victime à les exécuter. Cela se fait en intégrant des requêtes malveillantes dans des formulaires ou des images sur des sites Web légitimes. Lorsqu'une victime clique sur un lien malveillant ou ouvre un site Web malveillant, une demande est automatiquement envoyée au site Web. Le site Web supposera que la demande provient de la victime et exécutera la demande en conséquence.

Comment se protéger des attaques CSRF

Il existe de nombreuses façons de vous protéger contre les attaques CSRF. La méthode la plus courante consiste à utiliser des jetons de formulaire. Le jeton de formulaire est un identifiant unique généré par le serveur et intégré dans le formulaire. Lorsque l'utilisateur soumet le formulaire, le jeton est également soumis. Le serveur valide le jeton et s'assure qu'il correspond au jeton intégré dans le formulaire. S'il n'y a pas de correspondance, le serveur rejettera la demande.

Code démo

Le code suivant montre comment utiliser les jetons de formulaire en PHP pour protéger les formulaires contre les attaques CSRF :

<?php

// Generate a unique fORM token
$token = bin2hex(random_bytes(32));

// Store the token in the session
$_SESSION["csrf_token"] = $token;

?>

<form action="submit.php" method="post">
<input type="hidden" name="csrf_token" value="<?php echo $token; ?>">
<!-- Other form fields -->
<input type="submit" value="Submit">
</form>

Dans submit.php, vous pouvez utiliser le code suivant pour vérifier le jeton :

<?php

// Get the form token from the request
$token = $_POST["csrf_token"];

// Get the token from the session
$session_token = $_SESSION["csrf_token"];

// Compare the two tokens
if ($token !== $session_token) {
// The tokens do not match, so the request is invalid
echo "Invalid request";
exit;
}

// The tokens match, so the request is valid
// Process the form data

?>

Autres mesures de protection

En plus d'utiliser des jetons de formulaire, vous pouvez également utiliser les méthodes suivantes pour vous protéger des attaques CSRF :

• Utilisation de l'en-tête Content Security Policy (CSP). Les en-têtes CSP peuvent être utilisés pour spécifier quelles sources peuvent charger des scripts, des styles et des images. Cela peut aider à empêcher les attaquants d’intégrer des requêtes malveillantes dans votre site Web.
• Utilisez les en-têtes Cross-Origin Resource Sharing (CORS). Les en-têtes CORS peuvent être utilisés pour spécifier quelles origines peuvent accéder à votre api. Cela peut aider à empêcher les attaquants d'envoyer des requêtes malveillantes à votre API à partir d'autres sites Web.
• Utilisez l'authentification à deux facteurs (2FA). 2FA exige que les utilisateurs fournissent un deuxième facteur d'authentification lors de la connexion, tel qu'un mot de passe à usage unique (OTP). Cela peut aider à empêcher les attaquants d'accéder à votre compte si votre mot de passe est volé.

Conclusion

CSRF est une menace sérieuse pour la cybersécurité, mais vous pouvez prendre certaines mesures pour vous protéger contre les attaques. En utilisant des jetons de formulaire, des en-têtes CSP, des en-têtes CORS et 2FA, vous pouvez contribuer à protéger votre site Web et votre API contre les attaques CSRF.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!