简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP 言語開発におけるクロスサイト リクエスト フォージェリ攻撃を回避するにはどうすればよいですか?

WBOY
リリース: 2023-06-11 09:50:02
オリジナル
629 人が閲覧しました

現在のネットワーク セキュリティの脅威環境では、クロスサイト リクエスト フォージェリ (CSRF) 攻撃が非常に一般的な攻撃方法です。この攻撃手法は、システムの脆弱性を悪用し、ユーザーが知らない間に特定の操作を実行させることで攻撃者の目的を達成します。 PHP言語開発においては、CSRF攻撃をいかに回避するかが非常に重要な課題となっています。

CSRF 攻撃の原理

まず、CSRF 攻撃の原理を理解しましょう。 CSRF攻撃とは、本質的にはユーザーの身元認証情報を利用した攻撃手法です。攻撃者は通常、Web サイトでの転送操作などの特定のページまたは操作をターゲットにし、その操作に対する悪意のあるリクエストを作成し、そのリクエストを何らかの方法でユーザーに送信します。ユーザーが知らないうちにこの操作を実行すると、悪意のあるリクエストが実行され、ユーザーに損失が生じる可能性があります。

PHP 言語開発では、クロスサイト リクエスト フォージェリ攻撃を回避するには、通常、次の 3 つの側面が関係します。

  1. トークン検証

トークン検証は、CSRF 攻撃を防ぐ一般的な方法です。このようにして、サーバーはページ内にランダムなトークンを生成し、それをセッションに保存します。ユーザーがフォームなどを送信すると、サーバーは送信されたデータに正しいトークンが含まれているかどうかをチェックします。正しいトークンが含まれている場合、操作は実行されます。正しいトークンが含まれていない場合、サーバーは操作を拒否します。

PHP 言語開発では、次のコードを使用してランダム トークンを生成できます: 

$token = uniqid(rand(), true);
$_SESSION['csrf_token'] = $token;
ログイン後にコピー

フォームやその他の操作を送信するときに、次のコードを使用してトークンを確認できます。 ## 

if($_SESSION['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}
ログイン後にコピー

    リファラー検証
リファラー検証は、CSRF 攻撃を防ぐためのシンプルですが信頼性の低い方法です。このアプローチでは、サーバーは各リクエストの Referer ヘッダーをチェックして、リクエストが同じサイトからのものであることを確認します。このアプローチの問題は、Referer ヘッダーが攻撃者によって偽造される可能性があり、検証が失敗する可能性があることです。

PHP 言語開発では、次のコードを使用して現在のリクエストの Referer ヘッダーを取得できます: 

$referer = $_SERVER['HTTP_REFERER'];
ログイン後にコピー

    Cookie 検証
Cookie 検証CSRF 攻撃から保護するための、少し複雑ですが信頼できる方法です。この方法では、ユーザーがページにアクセスすると、サーバーは CSRF トークンと呼ばれるランダムな識別子をユーザーの Cookie に設定します。その後、ユーザーがアクションを実行すると、サーバーはリクエストに正しい CSRF トークンが含まれているかどうかを確認します。

PHP 言語開発では、次のコードを使用して CSRF トークンを設定できます: 

if(empty($_SESSION['csrf_token'])){
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
$csrfToken = $_SESSION['csrf_token'];
setcookie('csrf_token', $csrfToken, time() + 3600, '/', '', false, true);
ログイン後にコピー

フォームの送信やその他の操作の際、次のコードを使用して CSRF トークンを確認できます。 

if($_COOKIE['csrf_token'] !== $_POST['csrf_token']){
    // 验证失败
}else{
    // 验证成功
}
ログイン後にコピー
概要

PHP 言語開発では、クロスサイト リクエスト フォージェリ攻撃を回避することが非常に重要なタスクです。トークン検証、リファラー検証、Cookie 検証は、CSRF 攻撃を防ぐ 3 つの一般的な方法です。開発者は、システムのセキュリティを確保するために、実際のビジネス シナリオに基づいて適切な検証方法を選択する必要があります。

以上がPHP 言語開発におけるクロスサイト リクエスト フォージェリ攻撃を回避するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
CSRF 攻撃に対する PHP の保護 フォームセキュリティphp PHP のクロスサイト攻撃を防ぐ
ソース:php.cn
前の記事:PHP オブジェクト指向プログラミングの初心者ガイド 次の記事:PHP での自然な音声生成の初心者ガイド
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
PHP で SQL インジェクション攻撃を防ぐにはどうすればよいですか? ユーザー入力を変更せずに SQL クエリに挿入すると、次の例のように、アプリケーションは SQL インジェクション攻撃に対して脆弱になります。 $unsafe_variable=$...
から 2023-08-22 10:23:01
0
2
218
php - サードパーティの QQ ログインに関する CSRF サードパーティのログインを行っているときに問題が発生しました。CSRF 攻撃を防ぎたかったのです。次に、次のようなコードを追加しました。その後、コールバック関数で $_GET['s...
から 2017-05-27 17:43:43
0
2
447
ヘッダーの nginx バージョン番号と PHP バージョン番号を非表示にする方法は? たとえば、ヘッダーの nginx バージョン番号と PHP バージョン番号を非表示にするにはどうすればよいでしょうか?特定の悪意のあるスキャン攻撃を防ぐため。
から 2017-05-16 17:25:55
0
2
472
nginx - さまざまな IP から PHP への数千万のリクエスト、これは CC 攻撃ですか?それを防ぐにはどうすればよいでしょうか? 前述したように、静的ファイルには正常にアクセスできますが、PHP は応答しません。nginx ログを見ると、同じ PHP URL が大量にリクエストされており、現在 5 つのロード...
から 2017-05-16 17:16:21
0
2
264
php - 关于预防XSS攻击,用户输入时进行HTML编码?页面输出时进行HTML编码?哪个方案更好一点? 如题:关于预防XSS攻击,用户输入时进行HTML编码?页面输出时进行HTML编码?哪个方案更好一点? 个人感觉输入时就进行编码会更方便些,因为输出内容的页面会比较多,每次都编码,容...
から 2017-05-16 12:03:00
0
3
565
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!