Dans ce tutoriel, nous apprendrons comment implémenter la protection CSRF (Cross-Site Request Forgery) dans Lithe, pour empêcher les requêtes indésirables d'être effectuées dans votre application. Ce guide est conçu pour les débutants, alors allons-y par parties !
CSRF, ou Cross-Site Request Forgery, est un type d'attaque dans lequel un utilisateur est amené à effectuer une action non autorisée sur un site Web sur lequel il est authentifié. Cette attaque est dangereuse car l'attaquant peut manipuler des données ou accéder à des zones restreintes. Pour éviter cela, nous avons ajouté une couche de sécurité qui empêche le traitement des demandes suspectes.
Commençons !
Si Lithe n'est pas déjà configuré, commencez par installer le framework avec la commande ci-dessous :
composer create-project lithephp/lithephp nome-do-projeto cd nome-do-projeto
Cela crée une structure de base pour votre projet Lithe.
Le middleware CSRF permet de générer et de valider les jetons CSRF. Pour installer, exécutez la commande suivante dans le terminal de votre projet :
composer require lithemod/csrf
Maintenant, nous devons dire à Lithe que nous souhaitons utiliser le middleware CSRF. Ouvrez le fichier principal src/App.php et ajoutez le middleware CSRF.
use Lithe\Middleware\Security\csrf; use function Lithe\Orbis\Http\Router\router; $app = new \Lithe\App; // Configura o middleware CSRF com verificação automática no corpo da requisição $app->use(csrf([ 'expire' => 600, // Expiração do token após 10 minutos 'checkBody' => true, // Habilita a verificação automática no corpo 'bodyMethods' => ['POST', 'PUT', 'DELETE'], // Define os métodos para verificar o CSRF no corpo ])); $app->use(router(__DIR__ . '/routes/web')); $app->listen();
Grâce à cela, le middleware CSRF est actif dans notre application, et chaque demande nécessitant une protection doit inclure un jeton valide.
Pour utiliser la protection CSRF, nous devons générer un jeton unique et l'inclure dans les requêtes. Créons une route pour soumettre un formulaire qui inclut automatiquement le jeton CSRF.
use Lithe\Http\{Request, Response}; use function Lithe\Orbis\Http\Router\get; get('/form', function (Request $req, Response $res) { // Gera o campo de token CSRF $tokenField = $req->csrf->getTokenField(); // Envia o HTML com o token incluído no formulário return $res->send(" <form method='POST' action='/submit'> $tokenField <input type='text' name='data' placeholder='Digite algo' required> <button type='submit'>Enviar</button> </form> "); });
Lorsque le formulaire est soumis, Lithe vérifiera automatiquement si le jeton est valide. Créons maintenant la route qui recevra et traitera le formulaire.
composer create-project lithephp/lithephp nome-do-projeto cd nome-do-projeto
Si le jeton est invalide ou manquant, Lithe bloquera automatiquement la demande et renverra une erreur.
Sur le frontend, chaque fois que vous devez envoyer une requête POST (ou une autre méthode de modification de données), il est important d'inclure le jeton CSRF dans le corps ou l'en-tête de la requête, selon la façon dont vous avez configuré votre middleware.
Pour ceux qui utilisent JavaScript, voici un exemple de la façon d'envoyer le jeton avec une requête de récupération :
composer require lithemod/csrf
Dans ce tutoriel nous apprenons :
Avec cette protection en place, vous rendez votre application plus sécurisée contre les attaques CSRF, contribuant ainsi à protéger l'intégrité des données de vos utilisateurs.
Pour des informations plus détaillées, consultez la documentation officielle de Lithe.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!