为了防止跨站请求伪造 (csrf) 攻击,php 代码安全指南建议采取以下措施:使用 csrf 令牌、在表单中包含 csrf 令牌、验证 csrf 令牌、将 samesite 属性添加到会话 cookie。通过这些措施,可以有效保护网站免受 csrf 攻击,确保用户的操作安全可靠。
PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南
跨站请求伪造 (CSRF) 攻击是一种网络攻击,其中攻击者诱骗用户在受害网站上执行未经授权的操作。为了保护您的 PHP 代码免受 CSRF 攻击,有以下几种预防措施:
使用 CSRF 令牌
CSRF 令牌是随机生成的令牌,包含在每个 HTTP 请求中。令牌在用户会话中进行存储,并与服务器上的预期令牌进行比较。如果令牌不匹配,则请求将被拒绝。
<?php
session_start();
// 生成随机 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;
?>在表单中包含 CSRF 令牌
为防止攻击者向您的表单提交伪造的请求,请将 CSRF 令牌包括在每个表单中。
<form action="submit.php" method="POST">
<input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
<input type="submit" value="Submit">
</form>验证 CSRF 令牌
在服务器端,验证每个请求中的 CSRF 令牌。如果令牌不匹配,则拒绝该请求。
<?php
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
// 验证 CSRF 令牌
if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
http_response_code(400);
echo "无效的 CSRF 令牌";
exit;
}
}将 SameSite 属性添加到会话 Cookie
SameSite 属性可防止会话 Cookie 在跨域请求中发送,从而进一步保护您的网站免受 CSRF 攻击。
<?php
ini_set('session.cookie_samesite', 'Lax');
?>实战案例:保护电子邮件地址更改表单
以下示例展示了如何在注册表中使用 CSRF 保护更改电子邮件地址的方案:
<?php
session_start();
// 生成 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;
// 显示更改电子邮件地址的表单
?>
<form action="change-email.php" method="POST">
<input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
<input type="text" name="newEmail" placeholder="新电子邮件地址">
<input type="submit" value="更改电子邮件地址">
</form>
<?php
// 验证 CSRF 令牌并更新电子邮件
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
http_response_code(400);
echo "无效的 CSRF 令牌";
exit;
}
// 更新电子邮件地址
// ...
}以上就是PHP 代码安全:跨站请求伪造 (CSRF) 的预防指南的详细内容,更多请关注编程网其它相关文章!
