Éditeur PHP Apple vous propose le guide ultime « Tuer les menaces CSRF : comment prévenir PHP ». CSRF (Cross-Site Request Forgery) est une menace de sécurité réseau courante qui utilise les identités des utilisateurs pour effectuer des opérations non autorisées. Ce guide explorera en profondeur les principes, les impacts et les méthodes de prévention des attaques CSRF, et fournira des solutions de prévention complètes et des conseils pratiques pour vous aider à protéger efficacement votre site Web contre les attaques CSRF. Lisez maintenant pour améliorer la sécurité de votre site Web !
Comment ça marche ?
Les attaques CSRF reposent sur les conditions suivantes :
Lorsque ces conditions sont remplies, l'attaquant peut créer des requêtes malveillantes et inciter la victime à les exécuter. Cela se fait en intégrant des requêtes malveillantes dans des formulaires ou des images sur des sites Web légitimes. Lorsqu'une victime clique sur un lien malveillant ou ouvre un site Web malveillant, une demande est automatiquement envoyée au site Web. Le site Web supposera que la demande provient de la victime et exécutera la demande en conséquence.
Comment se protéger des attaques CSRF
Il existe de nombreuses façons de vous protéger contre les attaques CSRF. La méthode la plus courante consiste à utiliser des jetons de formulaire. Le jeton de formulaire est un identifiant unique généré par le serveur et intégré dans le formulaire. Lorsque l'utilisateur soumet le formulaire, le jeton est également soumis. Le serveur valide le jeton et s'assure qu'il correspond au jeton intégré dans le formulaire. S'il n'y a pas de correspondance, le serveur rejettera la demande.
Code démo
Le code suivant montre comment utiliser les jetons de formulaire en PHP pour protéger les formulaires contre les attaques CSRF :
<?php // Generate a unique fORM token $token = bin2hex(random_bytes(32)); // Store the token in the session $_SESSION["csrf_token"] = $token; ?> <form action="submit.php" method="post"> <input type="hidden" name="csrf_token" value="<?php echo $token; ?>"> <!-- Other form fields --> <input type="submit" value="Submit"> </form>
Dans submit.php
, vous pouvez utiliser le code suivant pour vérifier le jeton :
<?php // Get the form token from the request $token = $_POST["csrf_token"]; // Get the token from the session $session_token = $_SESSION["csrf_token"]; // Compare the two tokens if ($token !== $session_token) { // The tokens do not match, so the request is invalid echo "Invalid request"; exit; } // The tokens match, so the request is valid // Process the form data ?>
Autres mesures de protection
En plus d'utiliser des jetons de formulaire, vous pouvez également utiliser les méthodes suivantes pour vous protéger des attaques CSRF :
Conclusion
CSRF est une menace sérieuse pour la cybersécurité, mais vous pouvez prendre certaines mesures pour vous protéger contre les attaques. En utilisant des jetons de formulaire, des en-têtes CSP, des en-têtes CORS et 2FA, vous pouvez contribuer à protéger votre site Web et votre API contre les attaques CSRF.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!