PHP 中的 CSRF 保護-php教程-PHP中文網

首頁

後端開發

php教程

PHP 中的 CSRF 保護

Patricia Arquette

Dec 09, 2024 am 04:41 AM

CSRF Protection in PHP

什麼是 CSRF？

跨站請求偽造 (CSRF) 是一種網路安全漏洞，攻擊者可以利用該漏洞誘騙經過身份驗證的用戶在他們目前登入的網站上執行不需要的操作。此攻擊透過利用網站所擁有的信任來進行在使用者的瀏覽器中。

CSRF 攻擊如何運作

使用者登入合法網站 A 並收到會話 cookie
使用者在仍登入 A 的情況下造訪惡意網站 B
網站 B 包含向網站 A 發出請求的程式碼
瀏覽器自動包含會話 cookie
網站 A 處理請求，認為其合法

PHP中的CSRF保護方法

1. 使用隱藏輸入的基於令牌的保護

這是最常用的方法。實作方法如下：

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '

'; } // In your form processing function validateCSRFToken() { if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) { die('CSRF token validation failed'); } return true; }

2. 使用自訂標頭進行 CSRF 保護

此方法使用帶有自訂標頭的 AJAX 請求：

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});

3.雙重提交Cookie模式

此方法涉及將令牌作為 cookie 和請求參數發送：

// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
    'httponly' => true,
    'secure' => true,
    'samesite' => 'Strict'
]);

// Validation function
function validateDoubleSubmitToken() {
    if (!isset($_COOKIE['csrf_token']) || 
        !isset($_POST['csrf_token']) || 
        !isset($_SESSION['csrf_token'])) {
        return false;
    }

    return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) && 
           hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}

4. SameSite Cookie 屬性

現代應用程式也可以使用 SameSite cookie 屬性作為附加保護層：

// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
    'lifetime' => 0,
    'path' => '/',
    'domain' => $_SERVER['HTTP_HOST'],
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);

CSRF 保護的最佳實踐

代幣生成
- 使用加密安全的隨機數產生器
- 使令牌夠長（至少 32 位元組）
- 為每個會話產生新的代幣

function generateSecureToken($length = 32) {
    return bin2hex(random_bytes($length));
}

令牌驗證
- 使用時序安全的比較函數
- 驗證代幣的存在與價值
- 實作正確的錯誤處理

function validateToken($userToken, $storedToken) {
    if (empty($userToken) || empty($storedToken)) {
        return false;
    }
    return hash_equals($storedToken, $userToken);
}

表單實作
- 包含所有形式的代幣
- 實現自動令牌注入
- 處理令牌輪換

class CSRFProtection {
    public static function getTokenField() {
        return sprintf(
            '<input type="hidden" name="csrf_token" value="%s">',
            htmlspecialchars($_SESSION['csrf_token'])
        );
    }
}

特定於框架的保護

許多 PHP 框架提供內建的 CSRF 保護：

Laravel 範例

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '

交響樂範例

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});

要避免的常見陷阱

不要使用可預測的標記
不要將令牌儲存在全域可存取的 JavaScript 變數中
不要跳過 AJAX 請求的 CSRF 保護
不要只依賴檢查 Referer 標頭
不要在多個表單中使用相同的令牌

CSRF 保護對於 Web 應用程式安全至關重要。雖然實現 CSRF 保護的方法有多種，但使用隱藏表單欄位的基於令牌的方法仍然是使用最廣泛、最可靠的方法。請記住結合不同的保護方法以增強安全性，並在 PHP 應用程式中實施 CSRF 保護時始終遵循安全最佳實踐。

請記住，CSRF 保護應該是更廣泛的安全策略的一部分，其中包括適當的會話管理、安全性 cookie 處理和輸入驗證。

以上是PHP 中的 CSRF 保護的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

PHP如何處理對象克隆（克隆關鍵字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone關鍵字創建對象副本，並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝，克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象，避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題，優化克隆操作以提高效率。

PHP與Python：用例和應用程序Apr 17, 2025 am 12:23 AM

PHP適用於Web開發和內容管理系統，Python適合數據科學、機器學習和自動化腳本。 1.PHP在構建快速、可擴展的網站和應用程序方面表現出色，常用於WordPress等CMS。 2.Python在數據科學和機器學習領域表現卓越，擁有豐富的庫如NumPy和TensorFlow。

描述不同的HTTP緩存標頭（例如，Cache-Control，ETAG，最後修飾）。Apr 17, 2025 am 12:22 AM

HTTP緩存頭的關鍵玩家包括Cache-Control、ETag和Last-Modified。 1.Cache-Control用於控制緩存策略，示例：Cache-Control:max-age=3600,public。 2.ETag通過唯一標識符驗證資源變化，示例：ETag:"686897696a7c876b7e"。 3.Last-Modified指示資源最後修改時間，示例：Last-Modified:Wed,21Oct201507:28:00GMT。

說明PHP中的安全密碼散列（例如，password_hash，password_verify）。為什麼不使用MD5或SHA1？Apr 17, 2025 am 12:06 AM

在PHP中，應使用password_hash和password_verify函數實現安全的密碼哈希處理，不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希，增強安全性。 2)password_verify驗證密碼，通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值，不適合現代密碼安全。

PHP：服務器端腳本語言的簡介Apr 16, 2025 am 12:18 AM

PHP是一種服務器端腳本語言，用於動態網頁開發和服務器端應用程序。 1.PHP是一種解釋型語言，無需編譯，適合快速開發。 2.PHP代碼嵌入HTML中，易於網頁開發。 3.PHP處理服務器端邏輯，生成HTML輸出，支持用戶交互和數據處理。 4.PHP可與數據庫交互，處理表單提交，執行服務器端任務。

PHP和網絡：探索其長期影響Apr 16, 2025 am 12:17 AM

PHP在過去幾十年中塑造了網絡，並將繼續在Web開發中扮演重要角色。 1)PHP起源於1994年，因其易用性和與MySQL的無縫集成成為開發者首選。 2)其核心功能包括生成動態內容和與數據庫的集成，使得網站能夠實時更新和個性化展示。 3)PHP的廣泛應用和生態系統推動了其長期影響，但也面臨版本更新和安全性挑戰。 4)近年來的性能改進，如PHP7的發布，使其能與現代語言競爭。 5)未來，PHP需應對容器化、微服務等新挑戰，但其靈活性和活躍社區使其具備適應能力。