Cross-site request forgery (anglais : Cross-site request forgery), également connu sous le nom d'attaque en un clic ou de session riding, généralement abrégé en CSRF ou XSRF, est une sorte d'utilisateur contrôle Méthode d'attaque qui effectue des opérations involontaires sur l'application Web actuellement connectée.
Attaque de requête intersite. En termes simples, l'attaquant utilise des moyens techniques pour tromper le navigateur de l'utilisateur afin qu'il accède à un site Web qu'il a authentifié et l'exécute. Certaines opérations (telles que l'envoi d'e-mails, l'envoi de messages, et même des opérations immobilières telles que le transfert d'argent et l'achat de biens). (Apprentissage recommandé : framework yii )
Une fois le navigateur authentifié, le site Web visité le considérera comme une véritable opération utilisateur et l'exécutera.
Cela exploite une vulnérabilité dans l'authentification des utilisateurs sur le Web : une simple authentification peut uniquement garantir que la demande provient du navigateur d'un certain utilisateur, mais ne peut pas garantir que la demande elle-même est volontairement émise par l'utilisateur.
csrf de yii2, voici une brève introduction à son mécanisme de vérification.
Obtenez la valeur du jeton utilisée pour la vérification CSRF ; déterminez si le jeton utilisé pour CSRF existe. S'il n'existe pas, utilisez generateCsrfToken() pour le générer.
Vérifiez que la méthode beforeAction() dans webController a le jugement Yii::$app->getRequest()->validateCsrfToken(), qui est utilisé pour vérifier csrf.
En général, ma compréhension du csrf de yii2 commence par Yii::$app->request->getCsrfToken(); OK, commençons par getCsrfToken(). Cette méthode est dans yiiwebRequest.php :
/**
* Returns the token used to perform CSRF validation.
* 返回用于执行CSRF验证的token
* This token is a masked version of [[rawCsrfToken]] to prevent [BREACH attacks](http://breachattack.com/).
* This token may be passed along via a hidden field of an HTML form or an HTTP header value
* to support CSRF validation.
* @param boolean $regenerate whether to regenerate CSRF token. When this parameter is true, each time
* this method is called, a new CSRF token will be generated and persisted (in session or cookie).
* @return string the token used to perform CSRF validation.
*/
public function getCsrfToken($regenerate = false)
{
if ($this->_csrfToken === null || $regenerate) {
if ($regenerate || ($token = $this->loadCsrfToken()) === null) { //loadCsrfToken()就是在cookie或者session中获取token值
$token = $this->generateCsrfToken(); //如果token为空则调用generateCsrfToken()去生成
}
// the mask doesn't need to be very random
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
$mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
// The + sign may be decoded as blank space later, which will fail the validation
$this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
}
return $this->_csrfToken;
}
/**
* Loads the CSRF token from cookie or session.
* @return string the CSRF token loaded from cookie or session. Null is returned if the cookie or session
* does not have CSRF token.
*/
protected function loadCsrfToken()
{
if ($this->enableCsrfCookie) {
return $this->getCookies()->getValue($this->csrfParam); //cookie中获取csrf的token
} else {
return Yii::$app->getSession()->get($this->csrfParam); //session中获取csrf的token
}
}
/**
* Creates a cookie with a randomly generated CSRF token.
* Initial values specified in [[csrfCookie]] will be applied to the generated cookie.
* @param string $token the CSRF token
* @return Cookie the generated cookie
* @see enableCsrfValidation
*/
protected function createCsrfCookie($token)
{
$options = $this->csrfCookie;
$options['name'] = $this->csrfParam;
$options['value'] = $token;
return new Cookie($options);
}
/**
* Generates an unmasked random token used to perform CSRF validation.
* @return string the random token for CSRF validation.
*/
protected function generateCsrfToken()
{
$token = Yii::$app->getSecurity()->generateRandomString(); //生成随机的安全字符串
if ($this->enableCsrfCookie) {
$cookie = $this->createCsrfCookie($token); //createCsrfCookie()用于生成csrf的key=>value形式的token
Yii::$app->getResponse()->getCookies()->add($cookie); //将生成key=>value保存到cookies
} else {
Yii::$app->getSession()->set($this->csrfParam, $token); //将csrf的token存在session中
}
return $token;
}
/**
* 每次调用控制器中的方法的时候都会调用下面的Yii::$app->getRequest()->validateCsrfToken()验证
* @inheritdoc
*/
public function beforeAction($action)
{
if (parent::beforeAction($action)) {
if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
}
return true;
} else {
return false;
}
}
/**
* 校验方法
* Performs the CSRF validation.
*
* This method will validate the user-provided CSRF token by comparing it with the one stored in cookie or session.
* This method is mainly called in [[Controller::beforeAction()]].
*
* Note that the method will NOT perform CSRF validation if [[enableCsrfValidation]] is false or the HTTP method
* is among GET, HEAD or OPTIONS.
*
* @param string $token the user-provided CSRF token to be validated. If null, the token will be retrieved from
* the [[csrfParam]] POST field or HTTP header.
* This parameter is available since version 2.0.4.
* @return boolean whether CSRF token is valid. If [[enableCsrfValidation]] is false, this method will return true.
*/
public function validateCsrfToken($token = null)
{
$method = $this->getMethod();
// only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1
if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
return true;
}
$trueToken = $this->loadCsrfToken();
if ($token !== null) {
return $this->validateCsrfTokenInternal($token, $trueToken);
} else {
return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
|| $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
//getCsrfTokenFromHeader()这个我也不太理解,还请指点一下
}
}
/**
* @return string the CSRF token sent via [[CSRF_HEADER]] by browser. Null is returned if no such header is sent.
*/
public function getCsrfTokenFromHeader()
{
$key = 'HTTP_' . str_replace('-', '_', strtoupper(static::CSRF_HEADER));
return isset($_SERVER[$key]) ? $_SERVER[$key] : null;
}
/**
* Validates CSRF token
*
* @param string $token
* @param string $trueToken
* @return boolean
*/
private function validateCsrfTokenInternal($token, $trueToken)
{
$token = base64_decode(str_replace('.', '+', $token)); //解码从客户端获取的csrf的token
$n = StringHelper::byteLength($token);
if ($n <= static::CSRF_MASK_LENGTH) {
return false;
}
$mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
$token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
$token = $this->xorTokens($mask, $token);
return $token === $trueToken; //验证从客户端获取的csrf的token和真实的token是否相等
}Copier après la connexion
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
