简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

クロスサイトリクエストフォージェリ攻撃を防ぐための PHP プログラミングの実践

王林
リリース: 2023-07-05 13:42:01
オリジナル
1345 人が閲覧しました

クロスサイト リクエスト フォージェリ攻撃を防ぐための PHP プログラミングの実践

インターネットの発展に伴い、Web アプリケーションの人気はますます高まっています。ただし、Web アプリケーションはさまざまなネットワーク攻撃にも直面しており、その 1 つがクロスサイト リクエスト フォージェリ (CSRF) 攻撃です。この記事では、PHP プログラミング手法を使用して CSRF 攻撃を防ぐ方法を検討し、関連するコード例を示します。

CSRF 攻撃の原理は、攻撃者がユーザーのログイン ID を使用して、ユーザーの知らない間に悪意のある操作をターゲット Web サイトに実行できるリクエストを送信することです。ユーザーアカウントの変更や機密情報の削除など、攻撃者の違法な目的を達成することが目的です。

CSRF 攻撃を防ぐために、次のプログラミング手法を採用できます。

  1. リクエストのソースを確認します。まず、Web サイトのフォームに隠しフィールドを追加します。ランダムに生成されたトークンが含まれます。ユーザーがフォームを送信すると、サーバーはトークンが存在し、有効であるかどうかを確認します。このようにして、リクエストのソースが信頼できない場合、サーバーはリクエストの実行を拒否します。以下は、この機能を実装するサンプル コードです: 
<?php
// 生成 CSRF 令牌
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;

// 在表单中添加隐藏域
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';

// 验证 CSRF 令牌
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('Invalid CSRF token');
}
// 继续处理请求
// ...
?>
ログイン後にコピー
  1. 安全な SameSite Cookie 属性を設定します: クロスサイト要求を防ぐために、Cookie の SameSite 属性を "strict" に設定できます。 」または「緩い」。これにより、Cookie は送信元サイトと同じコンテキストでのみ送信できるようになります。以下は、SameSite プロパティを設定するためのサンプル コードです。 
<?php
// 设置 Cookie 的 SameSite 属性
session_set_cookie_params(['samesite' => 'strict']);
session_start();
?>
ログイン後にコピー
  1. 検証コード メカニズムを追加する: 上記の方法に加えて、セキュリティを強化するために検証コード メカニズムを追加することもできます。ユーザーが機密性の高い操作 (パスワードの変更など) を実行する場合、ユーザーはその操作の真の開始者であることを確認するために検証コードを入力する必要があります。

Web アプリケーションを CSRF 攻撃から保護するには、リクエストの送信元の検証、安全な SameSite Cookie 属性の設定、検証コード メカニズムの使用など、一連の対策を講じる必要があります。これらのプログラミングを実践すると、CSRF 攻撃のリスクが大幅に軽減され、Web アプリケーションのセキュリティが向上します。

ただし、これらの方法は絶対に安全というわけではないことに注意してください。ハッカーはまた、常に新しい攻撃手法を開発しています。したがって、ネットワーク セキュリティの傾向に細心の注意を払い、保護戦略を常に更新および改善する必要があります。

つまり、プログラムによる CSRF 攻撃の防止は、Web アプリケーションのセキュリティを保護する重要な部分です。リクエストのソースを検証し、安全な SameSite Cookie 属性を設定し、検証コード メカニズムを追加することで、CSRF 攻撃のリスクを大幅に軽減できます。この記事が、読者がこれらの保護対策を理解し、適用するのに役立つことを願っています。

参考:

  • OWASP CSRF 防止チートシート: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
  • PHP セッション管理: https://www.php.net/manual/en/features.sessions.php

以上がクロスサイトリクエストフォージェリ攻撃を防ぐための PHP プログラミングの実践の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
確認する token csrf
ソース:php.cn
前の記事:PHP と Vue.js を使用して悪意のあるスクリプト インジェクション攻撃を防御するためのベスト プラクティスを開発する方法 次の記事:PHP 経由で Alibaba Cloud の顔検出インターフェイスに接続し、顔認識機能を実装する方法
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
フォーム内のオブジェクトのフィールドを検証する - Vue 3 + Vee-validate + yes いくつかのフィールドがオブジェクト内にあるフォームがあります: <scriptsetuplang="ts">...constschema:yup.S...
から 2023-11-16 13:56:09
0
1
169
3 つの認証子を使用して、ユーザー名「phptest01072003@gmail.com」の SMTP サーバーに対して認証できません 3 つの認証システムを使用して SMTP サーバー上でユーザー名「phptest01072003@gmail.com」を認証できません。 Authenticator ログインで予期...
から 2023-11-09 23:58:07
0
1
311
Laravel 9 と Livewire の検証: 更新されない限り一意性の検証 次の検証は、新しいレコードを作成するときは機能しますが、レコードを更新するときは、partner_code と Seeds_code が一意の検証で停止します。レコードが変更されて...
から 2023-11-09 17:41:05
0
2
204
Vue 開発ツールのコンポーネントの横にあるパフォーマンスの数値は何ですか? Vue 開発ツールの特定の機能に関する洞察やリソースを持っている人はいますか?コンポーネント ペインには、コンポーネントが表示され、次にこれらの小さな赤と黄色の四角形が表示され、コ...
から 2023-11-09 14:46:48
0
1
305
クエーサーで vuelidate を使用するときに発生したエラーの解決策: 「ReferenceError: プロセスが定義されていません」 Quasar フレームワークを使用してアプリケーションを構築しています。フォームの検証には vuelidate を使用しています。 Quasar バージョン: » Quasar P...
から 2023-11-07 08:36:55
0
1
243
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!