ホームページ >バックエンド開発 >PHPチュートリアル >PHP 入門: クロスサイト リクエスト フォージェリ (CSRF)

PHP 入門: クロスサイト リクエスト フォージェリ (CSRF)

PHPz
PHPzオリジナル
2023-05-21 08:06:05947ブラウズ

PHP は、Web 開発で広く使用されているオープンソース スクリプト言語です。しかし、サイバー犯罪の増加に伴い、セキュリティは Web アプリケーション設計における重要な考慮事項の 1 つとなっています。クロスサイト リクエスト フォージェリ (CSRF) 攻撃は、ネットワーク セキュリティの一般的な脆弱性の 1 つです。この記事は、PHP 初心者向けに CSRF の入門ガイドを提供することを目的としています。

CSRF 攻撃は、ブラウザ内に存在する信頼関係を利用してユーザーのリクエストを偽造する攻撃です。この攻撃は通常、ユーザーが悪意のある Web サイトまたは無許可の Web サイトにアクセスしたときに発生します。攻撃者は、悪意のある Web サイトに偽の HTML フォームを挿入し、フォームの操作アドレスを被害者が信頼する Web サイトに設定します。ユーザーがだまされてフォームを送信すると、ブラウザは被害者の Cookie を含むリクエストを信頼できる Web サイトに自動的に送信し、攻撃を開始します。攻撃者はこの方法で、スパムの投稿、ユーザーのパスワードの変更、ユーザーの知らないうちにブラックリストにユーザーを追加するなど、多くの悪意のあるアクションを実行する可能性があります。

PHP では、CSRF 攻撃を防ぐベスト プラクティスは、トークン検証メカニズムを使用することです。このメカニズムにより、アプリケーションは一意のランダムなトークン値を生成し、それをすべての HTML フォームに埋め込み、フォーム送信時に値を検証することができます。期限切れのトークン値が送信された場合、アプリケーションはリクエストを拒否し、ユーザーに再認証を求める必要があります。

以下は、CSRF 攻撃を防ぐためにトークン検証メカニズムを実装する方法を示す基本的な PHP コード例です。

<?php
// 生成token值
$token = md5(uniqid(mt_rand(), true));

// 将token存储到SESSION变量中
$_SESSION['csrf_token'] = $token;

// 将token值嵌入到HTML表单中
echo '<form action="process_form.php" method="POST">';
echo '<label for="username">Username:</label>';
echo '<input type="text" id="username" name="username">';
echo '<label for="password">Password:</label>';
echo '<input type="password" id="password" name="password">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="submit" value="Submit">';
echo '</form>';

// 处理表单数据并验证token值
if(isset($_POST['username']) && isset($_POST['password'])) {
    // 验证token值
    if($_POST['csrf_token'] == $_SESSION['csrf_token']) {
        // 处理表单数据
        $username = $_POST['username'];
        $password = $_POST['password'];
        // ...
    } else {
        echo 'Invalid token value. Please try again.';
    }
}
?>

コード実装では、最初に md5(uniqid(mt_rand( ), true))関数はランダムなトークン値を生成し、それを SESSION 変数に格納し、HTML フォームに埋め込みます。フォーム データが送信されると、アプリケーションは POST リクエストのトークン値が SESSION のトークン値と一致することを検証します。一致する場合、フォーム データの送信が許可されます。一致しない場合、要求は拒否され、ユーザーは再認証を求められます。

もちろん、実際のアプリケーションでは、デジタル署名を使用して各フォーム要求を検証するなど、他の CSRF 防御手法もあります。ただし、上記のトークン検証メカニズムはシンプルで効果的な方法であり、PHP 開発にお勧めする価値があります。

つまり、CSRF 攻撃は一般的で危険なネットワーク セキュリティの脆弱性です。 PHP アプリケーションの設計者は、ベスト プラクティスに従って、アプリケーションがこの種の攻撃から確実に保護されるようにする必要があります。シンプルかつ効果的な方法は、トークン検証メカニズムを使用して、各フォーム要求が信頼できるユーザーによって開始されたことを確認することです。

以上がPHP 入門: クロスサイト リクエスト フォージェリ (CSRF)の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。