Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP

1. Prinsip serangan CSRF

Editor PHP Zimo membawa anda mendalami seni pencegahan pemalsuan permintaan merentas tapak PHP (CSRF). Serangan CSRF ialah salah satu ancaman keselamatan rangkaian yang melakukan operasi berniat jahat dengan menyamarkan permintaan pengguna. Adalah penting untuk memahami cara mengenal pasti dan mencegah serangan CSRF Mari kita belajar bersama cara mendapatkan cerapan tentang potensi ancaman, menguasai kawalan global dan memastikan keselamatan tapak web.

2. Bagaimana untuk mencegah serangan CSRF

2.1 Menggunakan token borang

Token borang ialah langkah pencegahan CSRF yang mudah. Sertakan token yang dijana secara rawak dalam setiap bentuk dan sahkan token itu di bahagian server. Jika token tidak sepadan, permintaan ditolak.

2.2 Menggunakan token penyegerakan

Token penyegerakan adalah serupa dengan token bentuk, tetapi ia lebih selamat. Salinan token penyegerakan disimpan pada kedua-dua sisi klien dan pelayan dan dibandingkan pada setiap permintaan. Jika token tidak sepadan, permintaan ditolak.

2.3 Menggunakan token anti-CSRF

Token anti-CSRF ialah langkah pencegahan CSRF yang lebih maju. Ia menggunakan medan Perujuk dalam pengepala permintaan Http untuk mengesahkan sumber permintaan. Jika medan Perujuk tidak sepadan, permintaan akan ditolak.

2.4 Langkah berjaga-jaga yang lain

Selain kaedah di atas, terdapat langkah lain untuk mencegah serangan CSRF, termasuk:

• Dayakan protokol HTTP Strict Transport Security (HSTS)
• Gunakan Dasar Keselamatan Kandungan (CSP)
• Gunakan Perkongsian Sumber Silang Asal (CORS)

3. Kod demo

Berikut ialah contoh kod yang menunjukkan cara menggunakan token borang untuk melindungi daripada serangan CSRF:

<?PHP
session_start();

// 生成随机令牌
$token = bin2hex(random_bytes(16));

// 将令牌存储到会话中
$_SESSION["csrf_token"] = $token;
?>

<fORM action="process.php" method="post">
<input type="hidden" name="csrf_token" value="<?php echo $token; ?>">
<input type="text" name="username">
<input type="passWord" name="password">
<input type="submit" value="Login">
</form>

<?php
// 处理表单
if (isset($_POST["csrf_token"]) && $_POST["csrf_token"] === $_SESSION["csrf_token"]) {
// 表单已验证，可以安全地处理数据
} else {
// 表单未验证，拒绝请求
echo "Invalid CSRF token.";
}
?>

4. Kesimpulan

Serangan CSRF adalah ancaman yang serius, tetapi ia boleh dielakkan dengan mengambil langkah berjaga-jaga yang sewajarnya. Dengan menggunakan token borang, token penyegerakan, token anti-CSRF dan pertahanan lain, pembangun boleh melindungi tapak mereka daripada serangan CSRF.

Atas ialah kandungan terperinci Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!