PHPセッションのクロスドメイン攻撃の予防策

PHP セッション クロスドメイン攻撃に対する予防策

Web アプリケーションでは、セッション (Session) はユーザーの状態を追跡し、ユーザー情報を保存するために使用される重要な方法です。 。ただし、Web アプリケーションの性質上、セッション データはクロスドメイン攻撃に対して脆弱です。この記事では、PHP における一般的な予防策をいくつか紹介し、具体的なコード例を示します。

1. Cookie 属性の設定

PHP では、通常、セッション ID は Cookie に保存されます。クロスドメイン攻撃を防ぐために、Cookie の関連属性を設定することでセキュリティを強化できます。具体的には、次の 2 つの Cookie 属性が比較的一般的です。

• "HttpOnly": JavaScript が Cookie にアクセスできないように、Cookie を HttpOnly としてマークします。これにより、スクリプトを通じてセッション ID が取得されなくなります。
• 「セキュア」: セッション ID が傍受や改ざんを防ぐためにセキュアな暗号化された接続でのみ送信されるようにするため、HTTPS 接続でのみ Cookie を送信します。

PHP コードを使用して Cookie 属性を設定する例:

// 设置会话Cookie
session_start();

// 设定Cookie属性
$cookieParams = session_get_cookie_params();
session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], true, true);

// 写入会话数据
$_SESSION["username"] = "user123";

session_write_close();

2. ソース ドメイン名を確認する

リクエストのソース ドメイン名を確認することで、次のことができます。セッションが正しいドメイン名でのみ使用されていることを確認してください。 $_SERVER['HTTP_REFERER'] 変数を使用して、リクエストのソース ドメイン名を取得できます。以下は、リクエストの送信元ドメイン名が正当であるかどうかを検証する関数の例です:

function validateReferer($allowedDomain) {
  $referer = $_SERVER['HTTP_REFERER'];
  $urlParts = parse_url($referer);

  if (isset($urlParts['host']) && $urlParts['host'] === $allowedDomain) {
    return true;
  } else {
    return false;
  }
}

// 在合适的地方调用该函数进行验证
if (validateReferer("example.com")) {
  // 执行会话操作
  // ...
} else {
  // 非法来源，处理错误
  // ...
}

3. トークンの生成と検証

トークンの生成と検証は、クロスドメイン名を防ぐための一般的な方法です。ドメイン攻撃。リクエストごとに、サーバーはクライアントのトークンを生成し、それをセッションに保存します。次に、トークンをフォームに書き込むか、リクエスト パラメーターとしてクライアントに送信します。クライアントがリクエストを送信すると、サーバーはトークンの有効性を再度検証します。

以下はトークンの生成と検証を行うサンプルコードです:

// 生成Token
function generateToken() {
  $token = bin2hex(random_bytes(32));
  $_SESSION["csrf_token"] = $token;
  return $token;
}

// 验证Token
function validateToken($token) {
  if (isset($_SESSION["csrf_token"]) && $_SESSION["csrf_token"] === $token) {
    return true;
  } else {
    return false;
  }
}

// 在合适的地方生成Token并存储
$token = generateToken();

// 在请求的表单中或作为请求参数发送Token
echo '<form method="post">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="submit" value="Submit">';
echo '</form>';

// 在接收请求的地方验证Token的有效性
if (isset($_POST["csrf_token"]) && validateToken($_POST["csrf_token"])) {
  // Token有效，执行操作
  // ...
} else {
  // Token无效，处理错误
  // ...
}

上記の方法は一般的な予防策の 1 つにすぎないことに注意してください。実際のアプリケーションでは、次のことが必要です。特定の状況とニーズに応じて、適切な方法を選択してください。さらに、アプリケーションを常に最新の状態に保ち、既知のセキュリティ脆弱性に迅速に対応することも同様に重要です。

概要: Cookie 属性を設定し、ソース ドメイン名を検証し、トークンを生成および検証することで、PHP セッションのクロスドメイン攻撃を効果的に防ぐことができます。開発プロセス中は、アプリケーションのセキュリティに常に注意を払い、ユーザー データとユーザーのプライバシーを保護するために適切な措置を講じる必要があります。

以上がPHPセッションのクロスドメイン攻撃の予防策の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。