Amalan pengaturcaraan PHP untuk mengelakkan serangan pemalsuan permintaan merentas tapak

Amalan pengaturcaraan PHP untuk mencegah serangan pemalsuan permintaan merentas tapak

Dengan perkembangan Internet, aplikasi web menjadi semakin popular. Walau bagaimanapun, aplikasi web juga menghadapi pelbagai serangan rangkaian, salah satunya adalah serangan Pemalsuan Permintaan Silang Tapak (CSRF). Dalam artikel ini, kami akan meneroka cara menggunakan teknik pengaturcaraan PHP untuk menghalang serangan CSRF dan menyediakan contoh kod yang berkaitan.

Prinsip serangan CSRF ialah penyerang menggunakan identiti log masuk pengguna untuk menghantar permintaan yang boleh melakukan operasi berniat jahat ke tapak web sasaran tanpa pengetahuan pengguna. Tujuannya adalah untuk mencapai tujuan haram penyerang, seperti membuat perubahan pada akaun pengguna, memadamkan maklumat sensitif, dsb.

Untuk mengelakkan serangan CSRF, kami boleh mengamalkan amalan pengaturcaraan berikut:

1. Sahkan sumber permintaan: Mula-mula, tambah medan tersembunyi pada borang tapak web yang mengandungi token yang dijana secara rawak. Apabila pengguna menyerahkan borang, pelayan menyemak untuk melihat sama ada token itu wujud dan sah. Dengan cara ini, jika sumber permintaan tidak boleh dipercayai, pelayan akan menolak untuk melaksanakan permintaan tersebut. Berikut ialah contoh kod yang melaksanakan fungsi ini:

<?php
// 生成 CSRF 令牌
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;

// 在表单中添加隐藏域
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';

// 验证 CSRF 令牌
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('Invalid CSRF token');
}
// 继续处理请求
// ...
?>

2. Tetapkan atribut Kuki SameSite yang selamat: Untuk mengelakkan permintaan merentas tapak, kami boleh menetapkan atribut Kuki SameSite kepada "ketat" atau "longgar". Ini memastikan bahawa kuki hanya boleh dihantar dalam konteks yang sama seperti tapak asalnya. Berikut ialah contoh kod untuk menetapkan sifat SameSite:

<?php
// 设置 Cookie 的 SameSite 属性
session_set_cookie_params(['samesite' => 'strict']);
session_start();
?>

3. Tambah mekanisme kod pengesahan: Selain kaedah di atas, kami juga boleh menambah mekanisme kod pengesahan untuk meningkatkan keselamatan. Apabila pengguna melakukan operasi sensitif (seperti menukar kata laluan), pengguna dikehendaki memasukkan kod pengesahan untuk memastikan bahawa pengguna adalah pemula operasi sebenar.

Untuk melindungi aplikasi web daripada serangan CSRF, kami mesti mengambil beberapa langkah, termasuk mengesahkan sumber permintaan, menetapkan atribut Kuki SameSite yang selamat dan menggunakan mekanisme kod pengesahan. Amalan pengaturcaraan ini boleh mengurangkan risiko serangan CSRF dan meningkatkan keselamatan aplikasi web.

Walau bagaimanapun, perlu diingat bahawa kaedah ini tidak benar-benar selamat. Penggodam juga sentiasa membangunkan teknik serangan baharu. Oleh itu, kami perlu memberi perhatian yang teliti kepada trend keselamatan rangkaian dan sentiasa mengemas kini serta menambah baik strategi perlindungan kami.

Ringkasnya, mencegah serangan CSRF secara pengaturcaraan adalah bahagian penting dalam mengamankan aplikasi web. Dengan mengesahkan sumber permintaan, menetapkan atribut Kuki SameSite yang selamat dan menambah mekanisme kod pengesahan, kami boleh mengurangkan risiko serangan CSRF dengan banyak. Saya harap artikel ini dapat membantu pembaca memahami dan menggunakan langkah perlindungan ini.

Rujukan:

• OWASP CSRF Prevention Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
• ://www.php pengurusan sesi:net.net features.sessions.php

Atas ialah kandungan terperinci Amalan pengaturcaraan PHP untuk mengelakkan serangan pemalsuan permintaan merentas tapak. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!