Protection CSRF en PHP
Qu’est-ce que le CSRF ?
Cross-Site Request Forgery (CSRF) est une vulnérabilité de sécurité Web qui permet à un attaquant de tromper les utilisateurs authentifiés pour qu'ils exécutent des actions indésirables sur un site Web sur lequel ils sont actuellement connectés. L'attaque fonctionne en exploitant la confiance qu'un site Web a dans le navigateur d'un utilisateur.
Comment fonctionnent les attaques CSRF
- L'utilisateur se connecte au site Web légitime A et reçoit un cookie de session
- L'utilisateur visite le site Web malveillant B alors qu'il est encore connecté à A
- Le site Web B contient du code qui fait une demande au site Web A
- Le navigateur inclut automatiquement le cookie de session
- Le site Web A traite la demande en pensant qu'elle est légitime
Méthodes de protection CSRF en PHP
1. Protection basée sur des jetons utilisant une entrée cachée
C'est la méthode la plus courante. Voici comment le mettre en œuvre :
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '<form method="POST" action="/submit">
<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
<!-- rest of your form fields -->
<input type="submit" value="Submit">
</form>';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
2. Protection CSRF à l'aide d'en-têtes personnalisés
Cette méthode utilise des requêtes AJAX avec des en-têtes personnalisés :
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
3. Modèle de cookie à double soumission
Cette méthode consiste à envoyer le token à la fois sous forme de cookie et de paramètre de requête :
// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
'httponly' => true,
'secure' => true,
'samesite' => 'Strict'
]);
// Validation function
function validateDoubleSubmitToken() {
if (!isset($_COOKIE['csrf_token']) ||
!isset($_POST['csrf_token']) ||
!isset($_SESSION['csrf_token'])) {
return false;
}
return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) &&
hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}
4. Attribut du cookie SameSite
Les applications modernes peuvent également utiliser l'attribut de cookie SameSite comme couche de protection supplémentaire :
// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
'lifetime' => 0,
'path' => '/',
'domain' => $_SERVER['HTTP_HOST'],
'secure' => true,
'httponly' => true,
'samesite' => 'Strict'
]);
Meilleures pratiques pour la protection CSRF
-
Génération de jetons
- Utilisez des générateurs de nombres aléatoires cryptographiquement sécurisés
- Créez des jetons suffisamment longs (au moins 32 octets)
- Générez de nouveaux jetons pour chaque session
function generateSecureToken($length = 32) {
return bin2hex(random_bytes($length));
}
-
Validation des jetons
- Utilisez des fonctions de comparaison sécurisées pour le timing
- Valider la présence et la valeur du jeton
- Mettre en œuvre une gestion appropriée des erreurs
function validateToken($userToken, $storedToken) {
if (empty($userToken) || empty($storedToken)) {
return false;
}
return hash_equals($storedToken, $userToken);
}
-
Mise en œuvre du formulaire
- Inclure les jetons sous toutes les formes
- Mettre en œuvre l'injection automatique de jetons
- Gérer la rotation des jetons
class CSRFProtection {
public static function getTokenField() {
return sprintf(
'<input type="hidden" name="csrf_token" value="%s">',
htmlspecialchars($_SESSION['csrf_token'])
);
}
}
Protection spécifique au framework
De nombreux frameworks PHP offrent une protection CSRF intégrée :
Exemple Laravel
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '<form method="POST" action="/submit">
<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
<!-- rest of your form fields -->
<input type="submit" value="Submit">
</form>';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
Exemple Symfony
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
Pièges courants à éviter
- N'utilisez pas de jetons prévisibles
- Ne stockez pas les jetons dans des variables JavaScript accessibles globalement
- Ne sautez pas la protection CSRF pour les requêtes AJAX
- Ne comptez pas uniquement sur la vérification de l'en-tête Referer
- N'utilisez pas le même jeton pour plusieurs formulaires
La protection CSRF est cruciale pour la sécurité des applications Web. Bien qu'il existe plusieurs approches pour mettre en œuvre la protection CSRF, l'approche basée sur des jetons utilisant des champs de formulaire masqués reste la méthode la plus largement utilisée et la plus fiable. N'oubliez pas de combiner différentes méthodes de protection pour une sécurité renforcée et suivez toujours les meilleures pratiques de sécurité lors de la mise en œuvre de la protection CSRF dans vos applications PHP.
N'oubliez pas que la protection CSRF doit faire partie d'une stratégie de sécurité plus large qui comprend une gestion appropriée des sessions, une gestion sécurisée des cookies et une validation des entrées.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
AI Hentai Generator
Générez AI Hentai gratuitement.
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Erreur de transfert SDK Alipay PHP: comment résoudre le problème de 'Impossible de déclarer la classe SignData'?
Apr 01, 2025 am 07:21 AM
Alipay Php ...
Expliquez les jetons Web JSON (JWT) et leur cas d'utilisation dans les API PHP.
Apr 05, 2025 am 12:04 AM
JWT est une norme ouverte basée sur JSON, utilisée pour transmettre en toute sécurité des informations entre les parties, principalement pour l'authentification de l'identité et l'échange d'informations. 1. JWT se compose de trois parties: en-tête, charge utile et signature. 2. Le principe de travail de JWT comprend trois étapes: la génération de JWT, la vérification de la charge utile JWT et l'analyse. 3. Lorsque vous utilisez JWT pour l'authentification en PHP, JWT peut être généré et vérifié, et les informations sur le rôle et l'autorisation des utilisateurs peuvent être incluses dans l'utilisation avancée. 4. Les erreurs courantes incluent une défaillance de vérification de signature, l'expiration des jetons et la charge utile surdimensionnée. Les compétences de débogage incluent l'utilisation des outils de débogage et de l'exploitation forestière. 5. L'optimisation des performances et les meilleures pratiques incluent l'utilisation des algorithmes de signature appropriés, la définition des périodes de validité raisonnablement,
Expliquez le concept de liaison statique tardive en PHP.
Mar 21, 2025 pm 01:33 PM
L'article traite de la liaison statique tardive (LSB) dans PHP, introduite dans PHP 5.3, permettant une résolution d'exécution de la méthode statique nécessite un héritage plus flexible. Problème main: LSB vs polymorphisme traditionnel; Applications pratiques de LSB et perfo potentiel
Décrivez les principes solides et comment ils s'appliquent au développement de PHP.
Apr 03, 2025 am 12:04 AM
L'application du principe solide dans le développement de PHP comprend: 1. Principe de responsabilité unique (SRP): Chaque classe n'est responsable d'une seule fonction. 2. Principe ouvert et ferme (OCP): les changements sont réalisés par extension plutôt que par modification. 3. Principe de substitution de Lisch (LSP): les sous-classes peuvent remplacer les classes de base sans affecter la précision du programme. 4. Principe d'isolement d'interface (ISP): utilisez des interfaces à grain fin pour éviter les dépendances et les méthodes inutilisées. 5. Principe d'inversion de dépendance (DIP): les modules élevés et de bas niveau reposent sur l'abstraction et sont mis en œuvre par injection de dépendance.
Caractéristiques de sécurité du cadre: protection contre les vulnérabilités.
Mar 28, 2025 pm 05:11 PM
L'article traite des fonctionnalités de sécurité essentielles dans les cadres pour se protéger contre les vulnérabilités, notamment la validation des entrées, l'authentification et les mises à jour régulières.
Frameworks de personnalisation / d'extension: comment ajouter des fonctionnalités personnalisées.
Mar 28, 2025 pm 05:12 PM
L'article examine l'ajout de fonctionnalités personnalisées aux cadres, en se concentrant sur la compréhension de l'architecture, l'identification des points d'extension et les meilleures pratiques pour l'intégration et le débogage.
Comment envoyer une demande post contenant des données JSON à l'aide de la bibliothèque Curl de PHP?
Apr 01, 2025 pm 03:12 PM
Envoyant des données JSON à l'aide de la bibliothèque Curl de PHP dans le développement de PHP, il est souvent nécessaire d'interagir avec les API externes. L'une des façons courantes consiste à utiliser la bibliothèque Curl pour envoyer le post� ...
Comment définir automatiquement les autorisations d'UnixSocket après le redémarrage du système?
Mar 31, 2025 pm 11:54 PM
Comment définir automatiquement les autorisations d'UnixSocket après le redémarrage du système. Chaque fois que le système redémarre, nous devons exécuter la commande suivante pour modifier les autorisations d'UnixSocket: sudo ...
