コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ バックエンド開発 PHPチュートリアル AJAX および標準フォームで使用すると、CSRF トークンが時々空になるのはなぜですか? PHP でこれを修正するにはどうすればよいですか?

AJAX および標準フォームで使用すると、CSRF トークンが時々空になるのはなぜですか? PHP でこれを修正するにはどうすればよいですか?

Linda Hamilton
Dec 14, 2024 pm 08:46 PM

Why are my CSRF tokens sometimes empty when used in AJAX and standard forms, and how can I fix this in PHP?

PHP での適切な CSRF トークン実装によるフォームのセキュリティ

質問:


< ;p>追加しようとすると、 CSRF トークンを 2 つの異なるフォーム (1 つは AJAX を使用し、もう 1 つは基本的な問い合わせフォームを使用) に送信すると、HTML 内のトークン値が散発的に空になることが観察されます。この問題はどのように解決できますか?

回答:

提供されているコードのように、問題はトークン生成方法に起因すると考えられます。予測とエントロピーの欠如に対して脆弱です。この方法は、1 回限りの使用およびフォームごとのトークン検証にも不十分です。

強力な CSRF トークンの生成:

トークン生成を安全なトークン生成に置き換えます。 PHP 7 または PHP 5.3 のメソッド:

PHP 7


session_start();
if (empty($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));
ログイン後にコピー

}
$token = $_SESSION['token'];

PHP 5.3 (または ext-mcrypt を使用)


session_start();
if (空($_SESSION['トークン'])) {

if (function_exists('mcrypt_create_iv')) {
    $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
ログイン後にコピー

}
$token = $_SESSION['token'];

CSRF トークンの検証:

hash_equals() を使用してトークンを検証する安全に:


if (!empty($_POST['token'])) {

if (hash_equals($_SESSION['token'], $_POST['token'])) {
     // Proceed to process the form data
} else {
     // Log this as a warning and keep an eye on these attempts
}
ログイン後にコピー

}

Per -フォームトークン制限:

トークンを特定の形式にさらに制限するには、hash_hmac():


echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
ログイン後にコピー

?>" />

Twig 統合によるハイブリッド アプローチ:

Twig テンプレートを使用している場合は、簡略化されたデュアル戦略を使用できます。実装:


$twigEnv->addFunction(

new \Twig_SimpleFunction(
    'form_token',
    function($lock_to = null) {
        if (empty($_SESSION['token'])) {
            $_SESSION['token'] = bin2hex(random_bytes(32));
        }
        if (empty($_SESSION['token2'])) {
            $_SESSION['token2'] = random_bytes(32);
        }
        if (empty($lock_to)) {
            return $_SESSION['token'];
        }
        return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
    }
)
ログイン後にコピー

);

この関数を使用すると、安全な一般トークンを次のように使用できます。



フォームごとのトークンは次の方法で生成できます:



使い捨て CSRF トークン:

使い捨てトークンの要件については、次のような専用ライブラリの使用を検討してください。 Paragon Initiative Enterprises の反 CSRF ライブラリ。

以上がAJAX および標準フォームで使用すると、CSRF トークンが時々空になるのはなぜですか? PHP でこれを修正するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
2週間前 By 尊渡假赌尊渡假赌尊渡假赌
レポ:チームメイトを復活させる方法
4週間前 By 尊渡假赌尊渡假赌尊渡假赌
ハローキティアイランドアドベンチャー:巨大な種を手に入れる方法
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
スプリットフィクションを打ち負かすのにどれくらい時間がかかりますか?
3週間前 By DDD
R.E.P.O.ファイルの保存場所:それはどこにあり、それを保護する方法は?
3週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7315
9
Java チュートリアル
1625
14
CakePHP チュートリアル
1348
46
Laravel チュートリアル
1260
25
PHP チュートリアル
1207
29
もっと見る
Related knowledge
11ベストPHP URLショートナースクリプト(無料およびプレミアム) 11ベストPHP URLショートナースクリプト(無料およびプレミアム) Mar 03, 2025 am 10:49 AM

11ベストPHP URLショートナースクリプト(無料およびプレミアム)

Instagram APIの紹介 Instagram APIの紹介 Mar 02, 2025 am 09:32 AM

Instagram APIの紹介

Laravelでフラッシュセッションデータを使用します Laravelでフラッシュセッションデータを使用します Mar 12, 2025 pm 05:08 PM

Laravelでフラッシュセッションデータを使用します

LaravelのバックエンドでReactアプリを構築する:パート2、React LaravelのバックエンドでReactアプリを構築する:パート2、React Mar 04, 2025 am 09:33 AM

LaravelのバックエンドでReactアプリを構築する:パート2、React

Laravelテストでの簡略化されたHTTP応答のモッキング Laravelテストでの簡略化されたHTTP応答のモッキング Mar 12, 2025 pm 05:09 PM

Laravelテストでの簡略化されたHTTP応答のモッキング

PHPのカール:REST APIでPHPカール拡張機能を使用する方法 PHPのカール:REST APIでPHPカール拡張機能を使用する方法 Mar 14, 2025 am 11:42 AM

PHPのカール:REST APIでPHPカール拡張機能を使用する方法

Codecanyonで12の最高のPHPチャットスクリプト Codecanyonで12の最高のPHPチャットスクリプト Mar 13, 2025 pm 12:08 PM

Codecanyonで12の最高のPHPチャットスクリプト

2025 PHP状況調査の発表 2025 PHP状況調査の発表 Mar 03, 2025 pm 04:20 PM

2025 PHP状況調査の発表

See all articles