Langkah-langkah pencegahan untuk serangan silang domain Sesi PHP

Sesi PHP Langkah pencegahan terhadap serangan merentas domain

Dalam aplikasi web, sesi ialah mekanisme penting untuk menjejak status pengguna dan menyimpan maklumat pengguna. Walau bagaimanapun, disebabkan sifat aplikasi web, data sesi terdedah kepada serangan merentas domain. Artikel ini akan memperkenalkan beberapa langkah pencegahan biasa dalam PHP dan menyediakan contoh kod khusus.

1. Tetapkan Sifat Kuki

Dalam PHP, ID sesi biasanya disimpan dalam kuki. Untuk mengelakkan serangan merentas domain, kami boleh meningkatkan keselamatan dengan menetapkan atribut berkaitan kuki. Khususnya, dua atribut kuki berikut agak biasa:

• "HttpOnly": Tandakan kuki sebagai HttpOnly supaya JavaScript tidak boleh mengakses kuki, dengan itu menghalang ID sesi daripada diperoleh melalui skrip.
• "Secure": Hanya hantar kuki di bawah sambungan HTTPS untuk memastikan ID sesi hanya dihantar dalam sambungan yang disulitkan selamat untuk mengelakkan pemintasan dan gangguan.

Contoh menetapkan atribut kuki melalui kod PHP:

// 设置会话Cookie
session_start();

// 设定Cookie属性
$cookieParams = session_get_cookie_params();
session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], true, true);

// 写入会话数据
$_SESSION["username"] = "user123";

session_write_close();

2. Sahkan nama domain sumber

Dengan mengesahkan nama domain sumber permintaan, anda boleh memastikan bahawa sesi hanya digunakan di bawah nama domain yang betul. Anda boleh menggunakan pembolehubah $_SERVER['HTTP_REFERER'] untuk mendapatkan nama domain sumber permintaan. Berikut ialah contoh fungsi untuk mengesahkan sama ada nama domain sumber permintaan adalah sah:

function validateReferer($allowedDomain) {
  $referer = $_SERVER['HTTP_REFERER'];
  $urlParts = parse_url($referer);

  if (isset($urlParts['host']) && $urlParts['host'] === $allowedDomain) {
    return true;
  } else {
    return false;
  }
}

// 在合适的地方调用该函数进行验证
if (validateReferer("example.com")) {
  // 执行会话操作
  // ...
} else {
  // 非法来源，处理错误
  // ...
}

3 Jana dan sahkan Token

Menjana dan mengesahkan Token ialah kaedah biasa untuk mencegah serangan merentas domain. Pada setiap permintaan, pelayan menjana token untuk klien dan menyimpannya dalam sesi. Kemudian, tulis Token ke dalam borang atau hantar kepada klien sebagai parameter permintaan. Apabila pelanggan menyerahkan permintaan, pelayan mengesahkan kesahihan token sekali lagi.

Berikut adalah contoh kod untuk menjana dan mengesahkan Token:

// 生成Token
function generateToken() {
  $token = bin2hex(random_bytes(32));
  $_SESSION["csrf_token"] = $token;
  return $token;
}

// 验证Token
function validateToken($token) {
  if (isset($_SESSION["csrf_token"]) && $_SESSION["csrf_token"] === $token) {
    return true;
  } else {
    return false;
  }
}

// 在合适的地方生成Token并存储
$token = generateToken();

// 在请求的表单中或作为请求参数发送Token
echo '<form method="post">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="submit" value="Submit">';
echo '</form>';

// 在接收请求的地方验证Token的有效性
if (isset($_POST["csrf_token"]) && validateToken($_POST["csrf_token"])) {
  // Token有效，执行操作
  // ...
} else {
  // Token无效，处理错误
  // ...
}

Perlu diingatkan bahawa kaedah yang dinyatakan di atas hanyalah salah satu daripada langkah berjaga-jaga yang biasa dalam aplikasi sebenar, anda perlu memilih yang sesuai mengikut yang khusus situasi dan kaedah. Selain itu, adalah sama penting untuk memastikan aplikasi anda dikemas kini dan bertindak balas terhadap kelemahan keselamatan yang diketahui dengan segera.

Ringkasan: Dengan menetapkan atribut kuki, mengesahkan nama domain sumber dan menjana serta mengesahkan Token, anda boleh menghalang serangan merentas domain Sesi PHP dengan berkesan. Semasa proses pembangunan, anda harus sentiasa memberi perhatian kepada keselamatan aplikasi anda dan mengambil langkah yang sesuai untuk melindungi data pengguna dan privasi pengguna.

Atas ialah kandungan terperinci Langkah-langkah pencegahan untuk serangan silang domain Sesi PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!