Mengapakah token CSRF saya kadangkala kosong apabila digunakan dalam AJAX dan borang standard, dan bagaimana saya boleh membetulkannya dalam PHP?

Melindungi Borang dengan Pelaksanaan Token CSRF yang Betul dalam PHP

Soalan:

< ;p>Apabila cuba menambah CSRF token kepada dua bentuk berbeza, satu menggunakan AJAX dan satu lagi borang hubungan asas, diperhatikan bahawa nilai token dalam HTML secara sporadis kosong. Bagaimanakah isu ini boleh diselesaikan?

Jawapan:

Masalah itu mungkin berpunca daripada kaedah penjanaan token, kerana kod yang disediakan ialah terdedah kepada ramalan dan kekurangan entropi. Kaedah ini juga tidak mencukupi untuk pengesahan token sekali guna dan per-bentuk.

Menjana Token CSRF yang Kuat:

Ganti penjanaan token dengan selamat kaedah untuk PHP 7 atau PHP 5.3 :

PHP 7

session_start();
if (kosong($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));

}

$ token = $_SESSION['token'];

PHP 5.3 (atau dengan ext-mcrypt)

session_start();
jika (kosong($_SESSION['token'])) {

if (function_exists('mcrypt_create_iv')) {
    $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}

}

$token = $_SESSION['token'];

Mengesahkan Token CSRF:

Gunakan hash_equals() untuk mengesahkan token dengan selamat:

jika (!kosong($_POST['token'])) {

if (hash_equals($_SESSION['token'], $_POST['token'])) {
     // Proceed to process the form data
} else {
     // Log this as a warning and keep an eye on these attempts
}

}

Per -Sekatan Token Borang:

Untuk mengehadkan lagi token kepada borang khusus, gunakan hash_hmac():

echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);?>" />

Pendekatan Hibrid dengan Integrasi Ranting:

Bagi mereka yang menggunakan templat Twig, strategi dwi yang dipermudahkan boleh dilaksanakan:

$twigEnv->addFunction(

new \Twig_SimpleFunction(
    'form_token',
    function($lock_to = null) {
        if (empty($_SESSION['token'])) {
            $_SESSION['token'] = bin2hex(random_bytes(32));
        }
        if (empty($_SESSION['token2'])) {
            $_SESSION['token2'] = random_bytes(32);
        }
        if (empty($lock_to)) {
            return $_SESSION['token'];
        }
        return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
    }
)

);

Dengan fungsi ini, token am selamat boleh digunakan sebagai:

Sementara token per-form boleh dijana dengan:

Token CSRF Guna Tunggal:

Untuk keperluan token sekali guna, pertimbangkan untuk menggunakan perpustakaan khusus seperti Pustaka anti-CSRF daripada Paragon Initiative Enterprises.

Atas ialah kandungan terperinci Mengapakah token CSRF saya kadangkala kosong apabila digunakan dalam AJAX dan borang standard, dan bagaimana saya boleh membetulkannya dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!