php教程

yii2对csrf攻击的防范措施

不言

Jul 10, 2018 pm 03:06 PM

csrfyii2

这篇文章主要介绍了关于yii2对csrf攻击的防范措施，有着一定的参考价值，现在分享给大家，有需要的朋友可以参考一下

今天北哥就给大家普及下csrf是啥？如果你已经知道了可以直接拉文章到底部点个赞。

CSRF（Cross-site request forgery跨站请求伪造）是一种对网站的恶意利用，在 2007 年曾被列为互联网 20 大安全隐患之一。

关于CSRF，要从一个故事开始~

老王丢钱事件

这个故事要从程序员老王丢了1万块钱说起，总之是进了小偷，找回无果。丢钱后的老王一直在思考，钱是怎么丢的、为何丢钱、为何是我丢钱~~

后来老王出现了严重的心理问题，他决定报复社会。

老王首先研究了网银系统，他发现转账是通过GET形式

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=abei

这意思就是说将 liuxiaoer 的1000元钱转给abei，当然当请求到达银行服务器后，程序会验证该请求是否来自合法的session并且该session的用户就是 liuxiaoer 并且已经登录。

老王自己也有一个银行账号 wang2，他尝试登录并且通过浏览器发送请求给银行，代码如下

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2

失败了~因为当前登录账号是老王自己，发送请求后服务器发现session所属用户wang2和account=liuxiaoer并不是一个人，因此被拒绝。

也就是说这个操作必须是 liuxiaoer 自己才可以，复仇的力量是可怕的，老王通过facebook层层找到了 liuxiaoer 就是快递员老刘的银行账号。

于是一个伟大的计划诞生了，老王的计划是这样的。

1、首先做一个网页，在网页中加入如下代码

src="https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2"

然后通过各种情景让老刘（liuxiaoer）访问了此网页。

2、当老刘（liuxiaoer）访问此网页后，上面的请求会被发送到银行，此刻还会带着老刘（liuxiaoer）自己的浏览器cookie信息，当然这样一般也不会成功，因为银行服务器发现老刘（liuxiaoer）并不在登录状态。

3、老王想了一个招，他在淘宝找了一个灰色商人老李，让他通过种种方法，总之让老刘（liuxiaoer）通过浏览器给老李转了一次款。

4、就在第三步操作的2分钟内，老王成功让老刘（liuxiaoer）再一次访问了自己做的网页，你知道的，此刻老刘（liuxiaoer）在银行的session还没有过期，老王网页给银行服务器发送请求后，验证通过，打款成功。

5、老王收到了款，老刘（liuxiaoer）并不知道这一切，对于银行来说这是一笔在正常不过的转账。

这就是CSRF攻击，浏览器无法拦截。

CSRF攻击特点

基于上面血淋淋的故事，我们总结下CSRF攻击的几个特点。

黑客借助于受害者的cookie等浏览器信息骗取服务器新人，黑客并拿不到cookie等。
由于浏览器同源策略，黑客无法拿到攻击的响应结果，能做的只是发起请求，你是否还记得很多钓鱼网站都模拟了登录框么？
CSRF攻击主要是发送修改数据请求。

CSRF防御对象

因此我们要保护的是所有能引起数据变化的客户端请求，比如新建、更新和删除。

CSRF防御方案

基于CSRF攻击特点，在业界目前防御 CSRF 攻击主要有三种策略：

验证 HTTP Referer 字段；
在请求地址中添加 token 并验证；
在 HTTP 头中自定义属性并验证。

HEEP Referer

在http请求的时候，头部有一个叫做Referer的字段，该字段记录本次请求的来源地址。因此服务器端可以通过此字段是否为同一个域名来判断请求是否合法，因为客户自己做的网页发起的请求，其Referer为黑客网站。

这种方法最简单，并且不需要修改业务代码，我们只需要对到达服务器的每个请求做一次拦截分析即可。

但是此方法的缺点也是明显的，因为Referer的值是浏览器的，虽然HTTP协议不允许去修改，但是如果浏览器自身存在漏洞，那么就有可能导致Referer被人工设置，不安全。

比如IE6，就可以通过方法篡改Referer值。

就算是最新的浏览器此方法也不是绝对可用的，这涉及了用户的隐私，很多用户会设置浏览器不提供Referer，因此服务器在得不到Referer的情况下不能贸然的决绝服务，有可能这是一个合法请求。

添加Token

CSRF攻击之所以能成功，是因为黑客完全伪造了一次用户的正常请求（这也是浏览器无法拦截的原因），并且cookie信息就是用户自己的，那么我们如果在请求中放入一些黑客无法去伪造的信息（不存在与cookie中），不就可以抵御了么！

比如在请求前生成一个token放到session中，当请求发生时，将token从session拿出来和请求提交过来的token进行对比，如果相等则认证通过，否则拒绝。token时刻在变化，黑客无法去伪造。

针对于不同类型的请求一般方案是

GET 放到url中，比如http://url?csrftoken=xxxx
POST 放到表单的隐藏域

对于GET请求，这里有一点要说明，在一个网站中请求的url很多，一般情况我们是通过js对dom的所有节点进行遍历，发现a链接就在其href中增加token。

这里存在一个问题，比如黑客将自己网站的链接发到了要攻击页面，则黑客网站链接后面会有一个token，此刻客户可以通过编写自己网站代码得到这个token，然后用这个token立刻构造表单，发起CSRF攻击，因此在js遍历的时候，如果发现不是本站的链接，可以不加token。

在HTTP头部增加属性

这个方法在思路上和上面的token方式一样，只不过将token放到了HTTP头部中，不再参数传递，通过XMLHttpRequest类可以一次性的给所有请求加上csrftoken这个HTTP头属性并设置值。

这种方法适合上面批量添加token不方便的情况，一次性操作，不过局限性也比较大，XMLHttpRequest请求通常用在ajax方法中，并非所有请求都适合。

Yii2

首先要说的是每种CSRF防范措施都有其弊端，无论你的防范多么严密，黑客拥有更多的攻击手段，因此在重要逻辑上（必须写入和删除）必须非常小心，接下来我们把yii2框架在csrf上的部署说一下。

我们以yii2.0.14为解说版本。

在CSRF这块，yii2框架采取了HTTP头部和参数token并行的方式，针对于每个请求，在beforeAction都会做一次判断，如下

// vendor/yiisoft/yii2/web/Controller.php
public function beforeAction($action) {
    
    if (parent::beforeAction($action)) {
        if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
            throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
        }

        return true;
    }

    return false;
}

如果我们没有设置 enableCsrfValidation 为false，并且没有报错，则会进行csrf验证，核心方法就是

Yii::$app->getRequest()->validateCsrfToken()

该方法存在于 vendor/yiisoft/yii2/web/Request.php 中，我们看一看它。

public function validateCsrfToken($clientSuppliedToken = null) {
    // 省略上面代码
    return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
        || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
}

validateCsrfToken函数代码我们只需要看最后的返回，getBodyParam或getCsrfTokenFromHeader方法得到的token，只要有一种验证通过，就认为合法。

以上是整体的思路，为了让你看的更清晰，我画一个图并增加一些名词解释。

1094681196-5b160d074ca04_articlex[1].png

以上是yii2的csrf策略部署，当然我还是推荐你使用 xdebug等调试工具一步一步看看这个过程。

最后我在把上图的关键函数进行说明

generateCsrfToken() 该函数生成token并存到cookie或session中，该值不会随页面刷新而变化，它更多充当钥匙的作用，根绝它生成具体的csrfToken。
getCsrfToken() 生成具体的csrfToken，就是你在表单隐藏域中看到的那个值，这个值将来会传到服务器和真实的csrfToken进行对比，验证是否合法。
validateCsrfToken() 进行合法性验证，该函数得到一个真实的csrfToken然后和客户端上传来的csrfToken进行对比。

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

相关推荐：

如何在yii2-wx中使用try_catch

关于Yii2中GridView的用法总结

以上是yii2对csrf攻击的防范措施的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何防止会话固定攻击？Apr 28, 2025 am 12:25 AM

防止会话固定攻击的有效方法包括：1.在用户登录后重新生成会话ID；2.使用安全的会话ID生成算法；3.实施会话超时机制；4.使用HTTPS加密会话数据，这些措施能确保应用在面对会话固定攻击时坚不可摧。

您如何实施无会话身份验证？Apr 28, 2025 am 12:24 AM

实现无会话身份验证可以通过使用JSONWebTokens(JWT)来实现，这是一种基于令牌的认证系统，所有的必要信息都存储在令牌中，无需服务器端会话存储。1)使用JWT生成和验证令牌，2)确保使用HTTPS防止令牌被截获，3)在客户端安全存储令牌，4)在服务器端验证令牌以防篡改，5)实现令牌撤销机制，如使用短期访问令牌和长期刷新令牌。

PHP会议有哪些常见的安全风险？Apr 28, 2025 am 12:24 AM

PHP会话的安全风险主要包括会话劫持、会话固定、会话预测和会话中毒。1.会话劫持可以通过使用HTTPS和保护cookie来防范。2.会话固定可以通过在用户登录前重新生成会话ID来避免。3.会话预测需要确保会话ID的随机性和不可预测性。4.会话中毒可以通过对会话数据进行验证和过滤来预防。

您如何销毁PHP会议？Apr 28, 2025 am 12:16 AM

销毁PHP会话需要先启动会话，然后清除数据并销毁会话文件。1.使用session_start()启动会话。2.用session_unset()清除会话数据。3.最后用session_destroy()销毁会话文件，确保数据安全和资源释放。

如何更改PHP中的默认会话保存路径？Apr 28, 2025 am 12:12 AM

如何改变PHP的默认会话保存路径？可以通过以下步骤实现：在PHP脚本中使用session_save_path('/var/www/sessions');session_start();设置会话保存路径。在php.ini文件中设置session.save_path="/var/www/sessions"来全局改变会话保存路径。使用Memcached或Redis存储会话数据，如ini_set('session.save_handler','memcached');ini_set(

您如何修改PHP会话中存储的数据？Apr 27, 2025 am 12:23 AM

tomodifyDataNaphPsession，startTheSessionWithSession_start（），然后使用$ _sessionToset，修改，orremovevariables.1）startThesession.2）setthesession.2）使用$ _session.3）setormodifysessessvariables.3）emovervariableswithunset（）