PHP實現安全編程：CSRF攻擊與防禦-php教程-PHP中文網

首頁

後端開發

php教程

PHP實現安全編程：CSRF攻擊與防禦

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 18, 2023 pm 12:22 PM

phpcsrf安全程式設計

在網路應用中，安全問題一直是個重要的議題。其中，跨站請求偽造（Cross-Site Request Forgery，CSRF）攻擊是常見的漏洞，也是容易被攻擊者利用的漏洞。那麼，如何在PHP開發中實現安全編程呢？本篇文章將著重於CSRF攻擊和防禦方案。

一、什麼是CSRF攻擊？

CSRF攻擊，即跨站請求偽造，是一種利用受害者已登入的狀態，在受害者毫不知情的情況下，向目標網站發送惡意請求的攻擊方式。攻擊者可能透過各種方式取得受害者的登入態，然後在不被察覺的情況下，向目標網站發動偽造的請求，從而實施攻擊。攻擊者可能透過讓受害者造訪第三方網站、透過郵件或聊天軟體中的連結、在社群網路上發布連結等方式，誘導受害者進行操作，從而觸發攻擊。

如下範例，攻擊者可以透過讓受害者訪問一個惡意網站，產生一個POST請求，偽裝成目標網站的請求，獲取受害者已登入的狀態下的權限，即提交評論：

<form action="https://www.targetwebsite.com/comment" method="post">
<input type="hidden" name="comment" value="harmful comment" />
<input type="submit" value="Submit Comment" />
</form>
<script>
document.forms[0].submit();
</script>

這種攻擊方式非常隱蔽，因為攻擊者並沒有直接攻擊目標網站，而是利用了目標網站的漏洞，從而實現攻擊。由於受害者並不知情，因此很難感知到攻擊的存在。如果目標網站未能防範CSRF攻擊，就可能導致資料外洩、惡意操作等風險。

二、如何進行CSRF防禦？

既然CSRF攻擊如此危險，那麼如何進行防禦呢？以下是一些常見的防禦策略：

1.增加token驗證

當使用者登入後，後台伺服器產生一個token並回傳給前端，並將該token保存到伺服器上，在後續與伺服器的互動中，前端需要將該token隨著請求帶到伺服器上。伺服器能夠透過token校驗來決定該請求是否合法。

以下是一個簡單的程式碼範例：

<!-- 后端代码 -->
<?php
session_start();
if(!isset($_SESSION['token'])){
$_SESSION['token'] = md5(uniqid(rand(), true));
}
$token = $_SESSION['token'];
?>

<!-- 前端代码 -->
<form method="post" action="/some/url">
<?php echo "<input type='hidden' name='token' value='".$token."' />"; ?>
<input type="text" name="username" />
<input type="text" name="password" />
<input type="submit" value="Submit" />
</form>

在此範例中，我們在背景產生了一個隨機的token，並將其回傳給前端。接著，該token被附加到隱藏的input標籤中。當前端提交請求時，token也將被提交，伺服器上的程式碼將根據提交的token來校驗該請求是否合法。

2.增加Referer驗證

Referer是HTTP頭的一部分，它包含了使用者是從哪個頁面轉向目前頁面的。透過檢查HTTP頭中的Referer，伺服器可以判斷該請求是否來自一個合法的頁面。如果偵測到Referer不正確，伺服器將拒絕回應該請求。

以下是一個簡單的程式碼範例：

<?php
$referer = $_SERVER['HTTP_REFERER'];
if(parse_url($referer, PHP_URL_HOST) != 'www.validwebsite.com') {
die("Invalid Referer");
}
// 处理正常的请求
?>

在此範例中，我們取得了HTTP頭中的Referer並檢查該請求是否來自名為「www.validwebsite.com」的網站。如果請求不是來自該網站，伺服器將拒絕回應，並顯示「Invalid Referer」的訊息。

3.增加瀏覽器cookie

基於cookie的CSRF攻擊是一種利用使用者登入狀態並將使用者cookie傳送到攻擊者網站的攻擊方式。為此，我們可以為敏感的頁面設定一個短暫的cookie，然後在執行與該頁面相關的操作時，檢查該cookie的存在。

以下是一個簡單的程式碼範例：

header('Set-Cookie: csrf_cookie=' . uniqid(rand(), true) . '; path=/; HttpOnly');

在此範例中，我們產生了一個隨機的csrf_cookie，並將其設定為HttpOnly，這表示cookie只能透過HTTP協議傳輸，並不能透過JavaScript存取。當請求到達伺服器時，我們可以檢查其cookie是否與該頁面匹配，從而識別是否有可能是攻擊行為。

總結

CSRF攻擊是一種非常危險的攻擊方式。防禦CSRF攻擊不僅有助於保護資料安全，也是實現安全程式設計的基本要求。在PHP開發環境中，我們可以採取一些措施來防範CSRF攻擊，例如設定token驗證、Referer驗證、增加瀏覽器cookie等。透過這些措施，我們可以有效地保護使用者登入態以及涉及敏感資料的頁面免受攻擊。

以上是PHP實現安全編程：CSRF攻擊與防禦的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP和Python：解釋了不同的範例Apr 18, 2025 am 12:26 AM

PHP主要是過程式編程，但也支持面向對象編程（OOP）；Python支持多種範式，包括OOP、函數式和過程式編程。 PHP適合web開發，Python適用於多種應用，如數據分析和機器學習。

PHP和Python：深入了解他們的歷史Apr 18, 2025 am 12:25 AM

PHP起源於1994年，由RasmusLerdorf開發，最初用於跟踪網站訪問者，逐漸演變為服務器端腳本語言，廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發，1991年首次發布，強調代碼可讀性和簡潔性，適用於科學計算、數據分析等領域。

在PHP和Python之間進行選擇：指南Apr 18, 2025 am 12:24 AM

PHP適合網頁開發和快速原型開發，Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發，語法簡單，適合快速開發。 2.Python語法簡潔，適用於多領域，庫生態系統強大。

PHP和框架：現代化語言Apr 18, 2025 am 12:14 AM

PHP在現代化進程中仍然重要，因為它支持大量網站和應用，並通過框架適應開發需求。 1.PHP7提升了性能並引入了新功能。 2.現代框架如Laravel、Symfony和CodeIgniter簡化開發，提高代碼質量。 3.性能優化和最佳實踐進一步提升應用效率。

PHP的影響：網絡開發及以後Apr 18, 2025 am 12:10 AM

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

PHP類型提示如何起作用，包括標量類型，返回類型，聯合類型和無效類型？Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示：自PHP7.0起，允許在函數參數中指定基本數據類型，如int、float等。 2)返回類型提示：確保函數返回值類型的一致性。 3)聯合類型提示：自PHP8.0起，允許在函數參數或返回值中指定多個類型。 4)可空類型提示：允許包含null值，處理可能返回空值的函數。

PHP如何處理對象克隆（克隆關鍵字）和__clone魔法方法？Apr 17, 2025 am 12:24 AM

PHP中使用clone關鍵字創建對象副本，並通過\_\_clone魔法方法定制克隆行為。 1.使用clone關鍵字進行淺拷貝，克隆對象的屬性但不克隆對象屬性內的對象。 2.通過\_\_clone方法可以深拷貝嵌套對象，避免淺拷貝問題。 3.注意避免克隆中的循環引用和性能問題，優化克隆操作以提高效率。