In diesem Tutorial erfahren Sie, wie Sie den CSRF-Schutz (Cross-Site Request Forgery) in Lithe implementieren, um zu verhindern, dass unerwünschte Anfragen an Ihre Anwendung gestellt werden. Diese Anleitung richtet sich an Anfänger, daher gehen wir Schritt für Schritt vor!
CSRF oder Cross-Site Request Forgery ist eine Angriffsart, bei der ein Benutzer dazu verleitet wird, eine nicht autorisierte Aktion auf einer Website auszuführen, auf der er authentifiziert ist. Dieser Angriff ist gefährlich, da der Angreifer Daten manipulieren oder auf gesperrte Bereiche zugreifen kann. Um dies zu verhindern, fügen wir eine Sicherheitsebene hinzu, die die Verarbeitung verdächtiger Anfragen verhindert.
Lasst uns anfangen!
Wenn Sie Lithe noch nicht eingerichtet haben, beginnen Sie mit der Installation des Frameworks mit dem folgenden Befehl:
composer create-project lithephp/lithephp project-name cd project-name
Dadurch entsteht eine Grundstruktur für Ihr Projekt mit Lithe.
Die CSRF-Middleware hilft bei der Generierung und Validierung von CSRF-Tokens. Um es zu installieren, führen Sie im Terminal Ihres Projekts den folgenden Befehl aus:
composer require lithemod/csrf
Jetzt müssen wir Lithe mitteilen, dass wir die CSRF-Middleware verwenden möchten. Öffnen Sie die Hauptdatei src/App.php und fügen Sie die CSRF-Middleware hinzu.
use Lithe\Middleware\Security\csrf; use function Lithe\Orbis\Http\Router\router; $app = new \Lithe\App; // Configure the CSRF middleware with automatic checking in the request body $app->use(csrf([ 'expire' => 600, // Token expiration after 10 minutes 'checkBody' => true, // Enables automatic checking in the body 'bodyMethods' => ['POST', 'PUT', 'DELETE'], // Defines the methods for checking CSRF in the body ])); $app->use(router(__DIR__ . '/routes/web')); $app->listen();
Damit ist die CSRF-Middleware in unserer Anwendung aktiv und jede schutzbedürftige Anfrage muss ein gültiges Token enthalten.
Um den CSRF-Schutz zu nutzen, müssen wir ein eindeutiges Token generieren und es in die Anfragen aufnehmen. Wir erstellen eine Route zum Senden eines Formulars, das automatisch das CSRF-Token enthält.
use Lithe\Http\{Request, Response}; use function Lithe\Orbis\Http\Router\get; get('/form', function (Request $req, Response $res) { // Generate the CSRF token field $tokenField = $req->csrf->getTokenField(); // Send the HTML with the token included in the form return $res->send(" <form method='POST' action='/submit'> $tokenField <input type='text' name='data' placeholder='Type something' required> <button type='submit'>Submit</button> </form> "); });
Beim Absenden des Formulars prüft Lithe automatisch, ob der Token gültig ist. Erstellen wir nun die Route, die das Formular empfängt und verarbeitet.
composer create-project lithephp/lithephp project-name cd project-name
Wenn das Token ungültig ist oder fehlt, blockiert Lithe automatisch die Anfrage und gibt einen Fehler zurück.
Wenn Sie im Frontend eine POST-Anfrage (oder eine andere datenverändernde Methode) senden müssen, ist es wichtig, das CSRF-Token in den Hauptteil der Anfrage oder in den Header aufzunehmen, je nachdem, wie Sie Ihre Middleware konfiguriert haben.
Für diejenigen, die JavaScript verwenden, ist hier ein Beispiel, wie das Token mit einer Abrufanforderung gesendet wird:
composer require lithemod/csrf
In diesem Tutorial haben wir Folgendes gelernt:
Mit der Implementierung dieses Schutzes machen Sie Ihre Anwendung sicherer gegen CSRF-Angriffe und tragen so zum Schutz der Integrität der Daten Ihrer Benutzer bei.
Ausführlichere Informationen finden Sie in der offiziellen Lithe-Dokumentation.
Das obige ist der detaillierte Inhalt vonSchützen Sie Ihre Anwendung mit CSRF in Lithe. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!