Bagaimana untuk mengelakkan serangan pemalsuan permintaan merentas tapak dalam pembangunan bahasa PHP?

Dalam persekitaran ancaman keselamatan rangkaian semasa, serangan pemalsuan permintaan merentas tapak (CSRF) adalah kaedah serangan yang sangat biasa. Kaedah serangan ini mengeksploitasi kelemahan dalam sistem dan mendorong pengguna untuk melakukan operasi tertentu tanpa pengetahuan mereka, dengan itu mencapai tujuan penyerang. Untuk pembangunan bahasa PHP, bagaimana untuk mengelakkan serangan CSRF telah menjadi tugas yang sangat penting.

Prinsip serangan CSRF

Pertama, mari kita fahami prinsip serangan CSRF. Serangan CSRF pada asasnya ialah kaedah serangan yang menggunakan maklumat pengesahan identiti pengguna. Penyerang biasanya menyasarkan halaman atau operasi tertentu, seperti operasi pemindahan pada tapak web, membina permintaan berniat jahat untuk operasi itu, dan kemudian menghantar permintaan itu kepada pengguna dalam beberapa cara. Apabila pengguna melakukan operasi ini tanpa pengetahuan mereka, permintaan berniat jahat boleh dilaksanakan, mengakibatkan kerugian kepada pengguna.

Dalam pembangunan bahasa PHP, mengelakkan serangan pemalsuan permintaan merentas tapak biasanya melibatkan tiga aspek berikut.

1. Pengesahan token

Pengesahan token ialah cara biasa untuk mencegah serangan CSRF. Dalam pendekatan ini, pelayan menjana token rawak dalam halaman dan menyimpannya dalam sesi. Apabila pengguna menyerahkan borang, dsb., pelayan menyemak sama ada data yang diserahkan mengandungi token yang betul. Jika token yang betul disertakan, operasi akan dilakukan. Jika token yang betul tidak disertakan, pelayan akan menolak operasi.

Dalam pembangunan bahasa PHP, anda boleh menggunakan kod berikut untuk menjana token rawak:

$token = uniqid(rand(), true);
$_SESSION['csrf_token'] = $token;

Apabila menyerahkan borang dan operasi lain, anda boleh menggunakan kod berikut untuk menyemak token:

if($_SESSION['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

2. Pengesahan perujuk

Pengesahan perujuk ialah cara yang mudah tetapi tidak boleh dipercayai untuk menghalang serangan CSRF. Dalam pendekatan ini, pelayan menyemak pengepala Perujuk setiap permintaan untuk memastikan permintaan itu dari tapak yang sama. Masalah dengan pendekatan ini ialah pengepala Perujuk boleh dipalsukan oleh penyerang, menyebabkan pengesahan gagal.

Dalam pembangunan bahasa PHP, anda boleh menggunakan kod berikut untuk mendapatkan pengepala Perujuk permintaan semasa:

$referer = $_SERVER['HTTP_REFERER'];

3. Pengesahan kuki

Pengesahan kuki ialah cara yang lebih kompleks tetapi boleh dipercayai untuk melindungi daripada serangan CSRF. Dalam kaedah ini, pelayan menetapkan pengecam rawak, dipanggil token CSRF, dalam kuki pengguna apabila pengguna melawat halaman. Kemudian, apabila pengguna melakukan tindakan, pelayan menyemak bahawa permintaan itu mengandungi token CSRF yang betul.

Dalam pembangunan bahasa PHP, anda boleh menggunakan kod berikut untuk menetapkan token CSRF:

if(empty($_SESSION['csrf_token'])){
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
$csrfToken = $_SESSION['csrf_token'];
setcookie('csrf_token', $csrfToken, time() + 3600, '/', '', false, true);

Apabila menyerahkan borang dan operasi lain, anda boleh menggunakan kod berikut untuk menyemak token CSRF:

if($_COOKIE['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}

Ringkasan

Dalam pembangunan bahasa PHP, mengelakkan serangan pemalsuan permintaan merentas tapak adalah tugas yang sangat penting. Pengesahan token, pengesahan perujuk dan pengesahan Kuki adalah tiga cara biasa untuk mencegah serangan CSRF. Bagi pembangun, kaedah pengesahan yang sesuai harus dipilih berdasarkan senario perniagaan sebenar untuk memastikan keselamatan sistem.

Atas ialah kandungan terperinci Bagaimana untuk mengelakkan serangan pemalsuan permintaan merentas tapak dalam pembangunan bahasa PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!