Rumah > Artikel > pembangunan bahagian belakang > Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP
Editor PHP Zimo membawa anda mendalami seni pencegahan pemalsuan permintaan merentas tapak PHP (CSRF). Serangan CSRF ialah salah satu ancaman keselamatan rangkaian yang melakukan operasi berniat jahat dengan menyamarkan permintaan pengguna. Adalah penting untuk memahami cara mengenal pasti dan mencegah serangan CSRF Mari kita belajar bersama cara mendapatkan cerapan tentang potensi ancaman, menguasai kawalan global dan memastikan keselamatan tapak web.
Token borang ialah langkah pencegahan CSRF yang mudah. Sertakan token yang dijana secara rawak dalam setiap bentuk dan sahkan token itu di bahagian server. Jika token tidak sepadan, permintaan ditolak.
Token penyegerakan adalah serupa dengan token bentuk, tetapi ia lebih selamat. Salinan token penyegerakan disimpan pada kedua-dua sisi klien dan pelayan dan dibandingkan pada setiap permintaan. Jika token tidak sepadan, permintaan ditolak.
Token anti-CSRF ialah langkah pencegahan CSRF yang lebih maju. Ia menggunakan medan Perujuk dalam pengepala permintaan Http untuk mengesahkan sumber permintaan. Jika medan Perujuk tidak sepadan, permintaan akan ditolak.
Selain kaedah di atas, terdapat langkah lain untuk mencegah serangan CSRF, termasuk:
Berikut ialah contoh kod yang menunjukkan cara menggunakan token borang untuk melindungi daripada serangan CSRF:
<?PHP session_start(); // 生成随机令牌 $token = bin2hex(random_bytes(16)); // 将令牌存储到会话中 $_SESSION["csrf_token"] = $token; ?> <fORM action="process.php" method="post"> <input type="hidden" name="csrf_token" value="<?php echo $token; ?>"> <input type="text" name="username"> <input type="passWord" name="password"> <input type="submit" value="Login"> </form> <?php // 处理表单 if (isset($_POST["csrf_token"]) && $_POST["csrf_token"] === $_SESSION["csrf_token"]) { // 表单已验证,可以安全地处理数据 } else { // 表单未验证,拒绝请求 echo "Invalid CSRF token."; } ?>
Serangan CSRF adalah ancaman yang serius, tetapi ia boleh dielakkan dengan mengambil langkah berjaga-jaga yang sewajarnya. Dengan menggunakan token borang, token penyegerakan, token anti-CSRF dan pertahanan lain, pembangun boleh melindungi tapak mereka daripada serangan CSRF.
Atas ialah kandungan terperinci Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!