PHP 開発におけるクロスサイトリクエストフォージェリに対処する方法-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP 開発におけるクロスサイトリクエストフォージェリに対処する方法

王林

Oct 08, 2023 am 10:03 AM

クロスサイトリクエストフォージェリ (csrf) の問題の処理 PHP開発におけるCSRF保護 CSRF攻撃防止対策

PHP 開発におけるクロスサイトリクエストフォージェリに対処する方法

はじめに: インターネットの急速な発展に伴い、Web サイトのセキュリティ問題がますます顕著になってきています。その 1 つはクロスサイトリクエストフォージェリ (CSRF) の問題です。この記事では、PHP 開発における CSRF 攻撃に効果的に対処する方法を紹介し、具体的なコード例を示します。

クロスサイトリクエストフォージェリとは何ですか?
クロスサイトリクエストフォージェリ (CSRF) は、攻撃者がユーザーをだまして、ログインしている Web サイト上で送金や個人情報の改ざんなどの悪意のある操作を実行させる攻撃手法です。通常、攻撃者はユーザーのログイン状態を利用して、別の Web サイトに悪意のあるリクエストを送信し、ユーザーの身元を偽って操作を実行します。
CSRF 攻撃を防ぐ一般的な方法
(1) ランダムにトークンを生成する
ユーザーがログインすると、ユーザーに対してランダムなトークンが生成され、サーバー側とユーザーのセッションに保存されます。各ユーザーリクエストでは、リクエスト内にトークンを含めて、サーバー側でトークンを検証する必要があります。トークンはランダムに生成されるため、攻撃者は正しいトークン値を推測できず、CSRF 攻撃を防ぐことができます。

サンプルコードは次のとおりです。

// 在用户登录时生成Token，并存储在Session中
session_start();
if (!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// 将Token添加到表单中
<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">

// 在服务器端验证Token
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        die('CSRF攻击检测');
    }
}

ログイン後にコピー

(2) SameSite Cookie 属性の設定
最新のブラウザでは、Cookie の SameSite 属性を設定して、 CSRF 攻撃。 SameSite 属性の値は、Strict、Lax、または None に設定できます。 Strict は、同じサイトからリクエストが行われた場合にのみ Cookie を送信できることを意味し、Lax は、特定の状況 (外部 Web サイトからのリンクをクリックした場合など) で Cookie の送信が許可されることを意味します。 [なし] は、いかなる状況でも Cookie を送信できることを意味し、セキュリティ上の問題が発生する可能性があります。

サンプルコードは次のとおりです。

setcookie('session_id', session_id(), [
    'expires' => 0,
    'path' => '/',
    'domain' => 'your_domain.com',
    'secure' => true,  // 只能通过HTTPS发送
    'httponly' => true,  // 无法通过JavaScript访问
    'samesite' => 'Strict'
]);

ログイン後にコピー

その他の考慮事項
(1) HTTPS プロトコルを使用する
HTTPS プロトコルを使用すると、ユーザー間のリクエストとレスポンスを確実に行うことができます。また、リクエストが仲介者によってハイジャックされたり改ざんされたりするのを防ぐために、サーバーは暗号化されています。

(2) バックエンドフレームワークとライブラリをタイムリーに更新する
バックエンドフレームワークとライブラリのバージョンを頻繁に更新することで、コードのセキュリティを維持し、既知のセキュリティ脆弱性の発生を防ぐことができます。攻撃者によって悪用されます。

(3) 合理的な権限制御
各ユーザーに最低限の権限を付与し、権限を超えた操作を行わないようにする。

結論: クロスサイトリクエストフォージェリ (CSRF) は、ネットワークセキュリティの一般的な問題です。ランダムにトークンを生成し、SameSite Cookie 属性を設定することで、CSRF 攻撃を効果的に防ぐことができます。同時に、コードのセキュリティを維持し、適切な権限制御を行うことも、CSRF 攻撃を防ぐための重要な手段です。

総単語数: 714 単語

以上がPHP 開発におけるクロスサイトリクエストフォージェリに対処する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

ホットトピック

Gmailメールのログイン入り口はどこですか？

7563

CakePHP チュートリアル

1385

Steamのアカウント名の形式は何ですか

Win11 Activation Key Permanent

NYTの接続はヒントと回答です

Related knowledge

Alipay PHP SDK転送エラー：「クラスの看板を宣言できない」という問題を解決する方法は？ Apr 01, 2025 am 07:21 AM

Alipay Php ...

JSON Web Tokens（JWT）とPHP APIでのユースケースを説明してください。 Apr 05, 2025 am 12:04 AM

JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。

確固たる原則と、それらがPHP開発にどのように適用されるかを説明してください。 Apr 03, 2025 am 12:04 AM

PHP開発における固体原理の適用には、次のものが含まれます。1。単一責任原則（SRP）：各クラスは1つの機能のみを担当します。 2。オープンおよびクローズ原理（OCP）：変更は、変更ではなく拡張によって達成されます。 3。Lischの代替原則（LSP）：サブクラスは、プログラムの精度に影響を与えることなく、基本クラスを置き換えることができます。 4。インターフェイス分離原理（ISP）：依存関係や未使用の方法を避けるために、細粒インターフェイスを使用します。 5。依存関係の反転原理（DIP）：高レベルのモジュールと低レベルのモジュールは抽象化に依存し、依存関係噴射を通じて実装されます。