pembangunan bahagian belakangtutorial phpDedahkan rahsia di sebalik pemalsuan permintaan rentas tapak PHP (CSRF) dan bina sistem perlindungan berlapis besi
editor php Strawberry akan mendedahkan rahsia di sebalik pemalsuan permintaan merentas tapak PHP (CSRF) dan membantu anda membina sistem perlindungan berlapis besi. Serangan CSRF ialah ancaman keselamatan rangkaian biasa Penggodam menggunakan maklumat identiti pengguna untuk menghantar permintaan berniat jahat dan menyebabkan kerosakan. Adalah penting untuk memahami prinsip serangan dan mengambil langkah perlindungan yang berkesan. Artikel ini akan memperkenalkan secara terperinci cara serangan CSRF berfungsi dan memberikan cadangan perlindungan praktikal untuk membantu anda mengukuhkan keselamatan sistem dan melindungi tapak web anda daripada kemungkinan ancaman.
Lelaki di belakang CSRF
CSRF memanfaatkan mekanisme pelayar WEB untuk menghantar kuki secara automatik. Apabila pengguna melawat tapak web yang mengandungi skrip hasad, skrip hasad boleh menghantar permintaan secara rahsia ke tapak web lain (tapak web mangsa). Penyemak imbas secara automatik akan menghantar kuki ke tapak web mangsa, dan penyerang boleh menyamar sebagai pengguna untuk melakukan operasi yang tidak dibenarkan, seperti mengubah suai maklumat peribadi, memindahkan wang atau membeli barangan.
Serangan CSRF biasanya perlu memenuhi syarat berikut:
- Pengguna telah log masuk ke laman web mangsa dan menyimpan kuki dalam penyemak imbas.
- Pengguna melawat tapak web yang mengandungi skrip berniat jahat.
- Skrip berniat jahat menghantar permintaan ke tapak web mangsa, membawa kuki pengguna.
- Selepas menerima permintaan, tapak web mangsa menganggap ia adalah daripada pengguna dan melakukan operasi yang sepadan.
Mencipta sistem perlindungan seperti dinding besi
Untuk mengelakkan serangan CSRF, anda boleh mengambil langkah berikut:
- Gunakan Token CSRF
Token CSRF ialah string yang dijana secara rawak, digunakan untuk mengesahkan kesahihan permintaan. Pada setiap permintaan, pelayan menjana Token CSRF dan menghantarnya ke penyemak imbas. Penyemak imbas menyimpan Token CSRF dalam kuki dan menghantarnya kembali ke pelayan dalam permintaan seterusnya. Selepas pelayan menerima permintaan, ia akan menyemak sama ada Token CSRF adalah betul. Jika Token CSRF tidak betul, permintaan dipalsukan dan pelayan akan menolak untuk melaksanakan permintaan tersebut.
Berikut ialah contoh penggunaan PHP untuk melaksanakan Token CSRF:
<?php
// Generate a CSRF Token
$csrfToken = bin2hex(random_bytes(32));
// Store the CSRF Token in a cookie
setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/");
// Verify the CSRF Token
if (isset($_POST["csrfToken"]) && $_POST["csrfToken"] === $_COOKIE["csrfToken"]) {
// The request is legitimate, process it
} else {
// The request is a CSRF attack, deny it
header("Http/1.1 403 Forbidden");
exit;
}
?>
- Menggunakan Kuki SameSite
SameSite Cookies ialah ciri baharu pelayar yang menghalang serangan CSRF. Kuki SameSite hanya membenarkan penyemak imbas menghantar kuki pada permintaan asal yang sama. Ini bermakna jika pengguna melawat tapak web yang mengandungi skrip hasad, skrip hasad tidak boleh menghantar kuki ke tapak web mangsa, sekali gus menghalang serangan CSRF.
Berikut ialah contoh menetapkan Kuki SameSite menggunakan PHP:
<?php
// Set the SameSite attribute for the CSRF Token cookie
setcookie("csrfToken", $csrfToken, time() + (60 * 60 * 24), "/", null, null, true);
?>
- Gunakan Dasar Keselamatan Kandungan (CSP)
CSP ialah pengepala HTTP yang membolehkan pentadbir tapak web mengawal sumber yang boleh dimuatkan oleh penyemak imbas. CSP boleh digunakan untuk menghalang serangan CSRF kerana ia menghalang pelayar daripada memuatkan skrip berniat jahat.
Berikut ialah contoh menyediakan CSP menggunakan PHP:
<?php
// Set the CSP header
header("Content-Security-Policy: default-src "self"");
?>
- Sahkan input pengguna
Selain menggunakan teknik di atas, input pengguna juga boleh disahkan untuk mengelakkan serangan CSRF. Sebagai contoh, apabila memproses borang yang diserahkan pengguna, anda boleh menyemak sama ada borang tersebut mengandungi Token CSRF dan sama ada Token CSRF adalah betul.
Kesimpulan
Serangan CSRF ialah kerentanan web keselamatan yang membenarkan penyerang menyamar sebagai pengguna dan melakukan tindakan yang tidak dibenarkan. Untuk mengelakkan serangan CSRF, beberapa langkah boleh diambil, seperti menggunakan Token CSRF, menggunakan Kuki SameSite, menggunakan CSP dan mengesahkan input pengguna.
Atas ialah kandungan terperinci Dedahkan rahsia di sebalik pemalsuan permintaan rentas tapak PHP (CSRF) dan bina sistem perlindungan berlapis besi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
PHP vs Python: Memahami PerbezaanApr 11, 2025 am 12:15 AMPHP dan Python masing -masing mempunyai kelebihan sendiri, dan pilihannya harus berdasarkan keperluan projek. 1.Php sesuai untuk pembangunan web, dengan sintaks mudah dan kecekapan pelaksanaan yang tinggi. 2. Python sesuai untuk sains data dan pembelajaran mesin, dengan sintaks ringkas dan perpustakaan yang kaya.
PHP: Adakah ia mati atau hanya menyesuaikan diri?Apr 11, 2025 am 12:13 AMPHP tidak mati, tetapi sentiasa menyesuaikan diri dan berkembang. 1) PHP telah menjalani beberapa lelaran versi sejak tahun 1994 untuk menyesuaikan diri dengan trend teknologi baru. 2) Ia kini digunakan secara meluas dalam e-dagang, sistem pengurusan kandungan dan bidang lain. 3) Php8 memperkenalkan pengkompil JIT dan fungsi lain untuk meningkatkan prestasi dan pemodenan. 4) Gunakan OPCACHE dan ikut piawaian PSR-12 untuk mengoptimumkan prestasi dan kualiti kod.
Masa Depan PHP: Adaptasi dan InovasiApr 11, 2025 am 12:01 AMMasa depan PHP akan dicapai dengan menyesuaikan diri dengan trend teknologi baru dan memperkenalkan ciri -ciri inovatif: 1) menyesuaikan diri dengan pengkomputeran awan, kontena dan seni bina microservice, menyokong Docker dan Kubernetes; 2) memperkenalkan pengkompil JIT dan jenis penghitungan untuk meningkatkan prestasi dan kecekapan pemprosesan data; 3) Berterusan mengoptimumkan prestasi dan mempromosikan amalan terbaik.
Bilakah anda menggunakan sifat berbanding kelas abstrak atau antara muka dalam PHP?Apr 10, 2025 am 09:39 AMDalam PHP, sifat sesuai untuk situasi di mana penggunaan semula kaedah diperlukan tetapi tidak sesuai untuk warisan. 1) Ciri membolehkan kaedah multiplexing dalam kelas untuk mengelakkan pelbagai kerumitan warisan. 2) Apabila menggunakan sifat, anda perlu memberi perhatian kepada konflik kaedah, yang dapat diselesaikan melalui alternatif dan sebagai kata kunci. 3) Tua yang berlebihan harus dielakkan dan tanggungjawab tunggalnya harus dikekalkan untuk mengoptimumkan prestasi dan meningkatkan pemeliharaan kod.
Apakah bekas suntikan ketergantungan (DIC) dan mengapa menggunakan satu dalam PHP?Apr 10, 2025 am 09:38 AMKontena Suntikan Ketergantungan (DIC) adalah alat yang menguruskan dan menyediakan kebergantungan objek untuk digunakan dalam projek PHP. Manfaat utama DIC termasuk: 1. Decoupling, membuat komponen bebas, dan kod itu mudah dikekalkan dan diuji; 2. Fleksibiliti, mudah untuk menggantikan atau mengubah suai kebergantungan; 3. Keseluruhan, mudah untuk menyuntik objek mengejek untuk ujian unit.
Terangkan SPL SPLFixedArray dan ciri -ciri prestasinya berbanding dengan susunan PHP biasa.Apr 10, 2025 am 09:37 AMSplfixedArray adalah pelbagai saiz tetap dalam PHP, sesuai untuk senario di mana prestasi tinggi dan penggunaan memori yang rendah diperlukan. 1) Ia perlu menentukan saiz apabila membuat untuk mengelakkan overhead yang disebabkan oleh pelarasan dinamik. 2) Berdasarkan pelbagai bahasa C, secara langsung mengendalikan memori dan kelajuan akses cepat. 3) Sesuai untuk pemprosesan data berskala besar dan persekitaran sensitif memori, tetapi ia perlu digunakan dengan berhati-hati kerana saiznya tetap.
Bagaimana PHP mengendalikan fail memuat naik dengan selamat?Apr 10, 2025 am 09:37 AMPHP mengendalikan fail muat naik melalui pembolehubah fail $ \ _. Kaedah untuk memastikan keselamatan termasuk: 1. Semak kesilapan muat naik, 2. Sahkan jenis dan saiz fail, 3. Mencegah penindasan fail, 4. Pindahkan fail ke lokasi storan tetap.
Apakah pengendali pengendali coalescing null (??) dan pengendali tugasan comelan null (?? =)?Apr 10, 2025 am 09:33 AMDalam JavaScript, anda boleh menggunakan NullcoalescingOperator (??) dan NullcoalescingAssignmentOperator (?? =). 1.? Menerapkan semula operan pertama yang tidak berselisih atau tidak ditentukan. 2.?? Pengendali ini memudahkan logik kod, meningkatkan kebolehbacaan dan prestasi.
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
MinGW - GNU Minimalis untuk Windows
Projek ini dalam proses untuk dipindahkan ke osdn.net/projects/mingw, anda boleh terus mengikuti kami di sana. MinGW: Port Windows asli bagi GNU Compiler Collection (GCC), perpustakaan import yang boleh diedarkan secara bebas dan fail pengepala untuk membina aplikasi Windows asli termasuk sambungan kepada masa jalan MSVC untuk menyokong fungsi C99. Semua perisian MinGW boleh dijalankan pada platform Windows 64-bit.
PhpStorm versi Mac
Alat pembangunan bersepadu PHP profesional terkini (2018.2.1).
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
SublimeText3 versi Inggeris
Disyorkan: Versi Win, menyokong gesaan kod!
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
