Yii2フレームワークのcsrf検証原理とトークンキャッシュソリューションの分析-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

Yii2フレームワークのcsrf検証原理とトークンキャッシュソリューションの分析

little bottle

Apr 25, 2019 pm 03:20 PM

yii フレームワーク

この記事は主に 3 つの部分に分かれており、最初に csrf について簡単に紹介し、次にソースコードに基づいて yii フレームワークの検証原理を分析することに焦点を当て、最後に、csrf によって引き起こされるトークンキャッシュに対する実現可能な解決策を提案します。ページのキャッシュ。関連する知識ポイントは、記事の最後に付録として添付されます。興味のある友達は調べてみましょう。

1.CSRF の説明

CSRF は「Cross-Site Request Forgery」の略で、ユーザーの正当な SESSION 内で開始される攻撃です。ハッカーは、悪意のある Web リクエストコードを Web ページに埋め込み、被害者をそのページにアクセスするように誘い込みます。ページにアクセスすると、被害者の知らないうちに被害者の法的アイデンティティでリクエストが開始され、ハッカーの予期したアクションが実行されます。次の HTML コードは、「製品の削除」機能を提供します。

<a href="http://www.shop.com/delProducts.php?id=100" "javascript:return confirm(&#39;Are you sure?&#39;)">Delete</a>

プログラマが、バックグラウンドで「製品の削除」リクエストに対応する合法性検証を実行しないと仮定します。ユーザーがこのリンクを使用すると、該当製品が削除され、ハッカーは被害者をだまして次のような悪意のあるコードを含む Web ページにアクセスさせ、被害者の知らないうちに該当製品を削除する可能性があります。

2.yii の csrf 検証原則/vendor/yiisoft/yii2/web/Request.php は、Request.php

/vendor と省略されます。 /yiisoft/yii2/web/Controller.php は、Controller.php と省略されます。

csrf 検証を有効にする

コントローラでenableCsrfValidationをtrueに設定します。通常のアプローチは、enableCsrfValidation を false に設定し、一部の機密性の高い操作を true に設定して、部分的な検証を有効にします。

public $enableCsrfValidation = false;
/**
 * @param \yii\base\Action $action
 * @return bool
 * @desc: 局部开启csrf验证(重要的表单提交必须加入验证，加入$accessActions即可
 */
public function beforeAction($action){
    $currentAction = $action->id;
    $accessActions = [&#39;vote&#39;,&#39;like&#39;,&#39;delete&#39;,&#39;download&#39;];
    if(in_array($currentAction,$accessActions)) {
        $action->controller->enableCsrfValidation = true;
    }
    parent::beforeAction($action);
    return true;
}

Generate token field

Request.phpで

まずセキュリティを通じて取得します。コンポーネントセキュリティ 32 ビットのランダムな文字列で、Cookie またはセッションに保存されます。これはネイティブトークンです。

/**
 * Generates  an unmasked random token used to perform CSRF validation.
 * @return string the random token for CSRF validation.
 */
protected function generateCsrfToken()
{
    $token = Yii::$app->getSecurity()->generateRandomString();
    if ($this->enableCsrfCookie) {
        $cookie = $this->createCsrfCookie($token);
        Yii::$app->getResponse()->getCookies()->add($cookie);
    } else {
        Yii::$app->getSession()->set($this->csrfParam, $token);
    }
    return $token;
}

その後、一連の暗号化置換操作を通じて、暗号化された _csrfToken が生成されます。これはブラウザに渡されるトークンです。最初に CSRF_MASK_LENGTH (Yii2 のデフォルトは 8 ビット) 長さの文字列マスクをランダムに生成します

マスクとトークンに対して次の操作を実行します。 (' ' , '.',base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2) は fill-first です。 XOR 操作

/**
 * Returns the XOR result of two strings.
 * If the two strings are of different lengths, the shorter one will be padded to the length of the longer one.
 * @param string $token1
 * @param string $token2
 * @return string the XOR result
 */
private function xorTokens($token1, $token2)
{
    $n1 = StringHelper::byteLength($token1);
    $n2 = StringHelper::byteLength($token2);
    if ($n1 > $n2) {
        $token2 = str_pad($token2, $n1, $token2);
    } elseif ($n1 < $n2) {
        $token1 = str_pad($token1, $n2, $n1 === 0 ? &#39; &#39; : $token1);
    }
    return $token1 ^ $token2;
}
public function getCsrfToken($regenerate = false)
{
    if ($this->_csrfToken === null || $regenerate) {
        if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
            $token = $this->generateCsrfToken();
        }
        // the mask doesn&#39;t need to be very random
        $chars = &#39;ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.&#39;;
        $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
        // The + sign may be decoded as blank space later, which will fail the validation
        $this->_csrfToken = str_replace(&#39;+&#39;, &#39;.&#39;, base64_encode($mask . $this->xorTokens($token, $mask)));
    }

    return $this->_csrfToken;
}

検証トークン

controller.php

/**
 * @inheritdoc
 */
public function beforeAction($action)
{
    if (parent::beforeAction($action)) {
        if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
            throw new BadRequestHttpException(Yii::t(&#39;yii&#39;, &#39;Unable to verify your data submission.&#39;));
        }
        return true;
    }
    
    return false;
}
public function validateCsrfToken($token = null)
{
    $method = $this->getMethod();
    if (!$this->enableCsrfValidation || in_array($method, [&#39;GET&#39;, &#39;HEAD&#39;, &#39;OPTIONS&#39;], true)) {
        return true;
    }

    $trueToken = $this->loadCsrfToken();//如果开启了enableCsrfCookie,CsrfToken就从cookie里取,否者从session里取(更安全)

    if ($token !== null) {
        return $this->validateCsrfTokenInternal($token, $trueToken);
    } else {
        return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
            || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
    }
}

## の request.php で validateCsrfToken メソッドを呼び出します。

#クライアントの受信を取得します

$this->getBodyParam($this->csrfParam)

次に CsrfTokenInternal を検証します

private function validateCsrfTokenInternal($token, $trueToken)
{
    if (!is_string($token)) {
        return false;
    }
    $token = base64_decode(str_replace(&#39;.&#39;, &#39;+&#39;, $token));
    $n = StringHelper::byteLength($token);
    if ($n <= static::CSRF_MASK_LENGTH) {
        return false;
    }
    $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
    $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
    $token = $this->xorTokens($mask, $token);

    return $token === $trueToken;
}

暗号化に使用されます

str_replace(' ', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask))); 復号化 1. まず . を 2 に置き換えます。次に、base64_decode を実行し、長さに応じてマスクとマスクをそれぞれ取り出します。 this- >xorTokens(token,token,mask) ; 説明の便宜上、this->xorTokens(this->xorTokens(token, $mask) を token1 と呼び、マスクと token1 の XOR 演算を実行してトークンを取得します。

token1=token^mask

を暗号化するとき、つまり復号するときは

token=mask^token1=mask^(token^mask)

3.トークンキャッシュソリューション

Whenページ全体がキャッシュされ、トークンもキャッシュされ、検証が失敗します。一般的な解決策は、検証に合格できるように、各送信前にトークンを再取得することです。付録:

str_pad()、この関数は、入力を左端、右端、または両端から指定された長さにパディングした後の結果を返します。同時に。オプションの Pad_string パラメータが指定されていない場合、入力はスペース文字で埋められ、それ以外の場合は、指定された長さまで Pad_string で埋められます;

str_shuffle() function 可能な並べ替えスキームを使用して文字列をシャッフルします。

yii2 csrf 検証の暗号化と復号化には XOR 演算

が含まれるため、最初に関連する文字列 XOR 演算をPHP の知識、必要ない場合はスキップしてください。

^XOR 演算が異なる場合は 1 を返し、そうでない場合は 0 を返します。 PHP 言語では、暗号化操作によく使用され、復号化にも直接使用されます^ 文字列操作を実行する場合、文字の ASCII コードがバイナリに変換されて単一文字操作

1 が実行されます。単一文字および単一文字の場合、結果は表 a^b

2 に示すように直接計算できます。表内の ab^cd など、同じ長さの複数の文字列の場合は、 a^c に対応する結果と b^d に対応する結果に対応する文字を計算し、それらを接続します

関連チュートリアル: PHP ビデオチュートリアル

以上がYii2フレームワークのcsrf検証原理とトークンキャッシュソリューションの分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事は博客园で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。

PHP対Python：違いを理解しますApr 11, 2025 am 12:15 AM

PHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。

PHP：それは死にかけていますか、それとも単に適応していますか？Apr 11, 2025 am 12:13 AM

PHPは死にかけていませんが、常に適応して進化しています。 1）PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2）現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3）PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4）Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。

PHPの未来：適応と革新Apr 11, 2025 am 12:01 AM

PHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1）クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2）パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3）パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。

PHPの抽象クラスまたはインターフェイスに対して、いつ特性を使用しますか？Apr 10, 2025 am 09:39 AM

PHPでは、特性は方法が必要な状況に適していますが、継承には適していません。 1）特性により、クラスの多重化方法が複数の継承の複雑さを回避できます。 2）特性を使用する場合、メソッドの競合に注意を払う必要があります。メソッドの競合は、代替およびキーワードとして解決できます。 3）パフォーマンスを最適化し、コードメンテナビリティを改善するために、特性の過剰使用を避け、その単一の責任を維持する必要があります。

依存関係噴射コンテナ（DIC）とは何ですか？また、なぜPHPで使用するのですか？Apr 10, 2025 am 09:38 AM

依存関係噴射コンテナ（DIC）は、PHPプロジェクトで使用するオブジェクト依存関係を管理および提供するツールです。 DICの主な利点には、次のものが含まれます。1。デカップリング、コンポーネントの独立したもの、およびコードの保守とテストが簡単です。 2。柔軟性、依存関係を交換または変更しやすい。 3.テスト可能性、単体テストのために模擬オブジェクトを注入するのに便利です。

通常のPHPアレイと比較して、SPL SPLFIXEDARRAYとそのパフォーマンス特性を説明してください。Apr 10, 2025 am 09:37 AM

SplfixedArrayは、PHPの固定サイズの配列であり、高性能と低いメモリの使用が必要なシナリオに適しています。 1）動的調整によって引き起こされるオーバーヘッドを回避するために、作成時にサイズを指定する必要があります。 2）C言語アレイに基づいて、メモリと高速アクセス速度を直接動作させます。 3）大規模なデータ処理とメモリに敏感な環境に適していますが、サイズが固定されているため、注意して使用する必要があります。

PHPは、ファイルを安全に処理する方法をどのように処理しますか？Apr 10, 2025 am 09:37 AM

PHPは、$ \ _ファイル変数を介してファイルのアップロードを処理します。セキュリティを確保するための方法には次のものが含まれます。1。アップロードエラー、2。ファイルの種類とサイズを確認する、3。ファイル上書きを防ぐ、4。ファイルを永続的なストレージの場所に移動します。

Null Coulescingオペレーター（??）およびNull Coulescing Assignment Operator（?? =）とは何ですか？Apr 10, 2025 am 09:33 AM

JavaScriptでは、nullcoalescingoperator（??）およびnullcoalescingsignmentoperator（?? =）を使用できます。 1.？？最初の非潜水金または非未定されたオペランドを返します。 2.？？これらの演算子は、コードロジックを簡素化し、読みやすさとパフォーマンスを向上させます。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

MinGW - Minimalist GNU for Windows

このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポートライブラリとヘッダーファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。