PHP의 CSRF 보호
CSRF란 무엇입니까?
교차 사이트 요청 위조(CSRF)는 공격자가 인증된 사용자를 속여 현재 로그인되어 있는 웹 사이트에서 원치 않는 작업을 실행하도록 하는 웹 보안 취약점입니다. 공격은 웹 사이트가 갖고 있는 신뢰를 악용하여 작동합니다. 사용자의 브라우저에서.
CSRF 공격의 작동 방식
- 사용자가 합법적인 웹사이트 A에 로그인하고 세션 쿠키를 받습니다
- 사용자가 A에 로그인한 상태에서 악성 웹사이트 B를 방문합니다
- 웹사이트 B에는 웹사이트 A에 요청하는 코드가 포함되어 있습니다
- 브라우저에 세션 쿠키가 자동으로 포함됩니다
- 웹사이트 A는 합법적인 것으로 간주하여 요청을 처리합니다
PHP의 CSRF 보호 방법
1. 숨겨진 입력을 사용한 토큰 기반 보호
가장 일반적인 방법입니다. 구현 방법은 다음과 같습니다.
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '<form method="POST" action="/submit">
<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
<!-- rest of your form fields -->
<input type="submit" value="Submit">
</form>';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
2. 사용자 정의 헤더를 사용한 CSRF 보호
이 방법은 사용자 정의 헤더와 함께 AJAX 요청을 사용합니다.
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
3. 쿠키 패턴 이중 제출
이 방법에는 토큰을 쿠키와 요청 매개변수로 보내는 방법이 포함됩니다.
// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
'httponly' => true,
'secure' => true,
'samesite' => 'Strict'
]);
// Validation function
function validateDoubleSubmitToken() {
if (!isset($_COOKIE['csrf_token']) ||
!isset($_POST['csrf_token']) ||
!isset($_SESSION['csrf_token'])) {
return false;
}
return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) &&
hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}
4. SameSite 쿠키 속성
최신 애플리케이션은 SameSite 쿠키 속성을 추가 보호 계층으로 사용할 수도 있습니다.
// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
'lifetime' => 0,
'path' => '/',
'domain' => $_SERVER['HTTP_HOST'],
'secure' => true,
'httponly' => true,
'samesite' => 'Strict'
]);
CSRF 보호 모범 사례
-
토큰 생성
- 암호적으로 안전한 난수 생성기 사용
- 토큰을 충분히 길게 만드세요(최소 32바이트)
- 각 세션마다 새 토큰 생성
function generateSecureToken($length = 32) {
return bin2hex(random_bytes($length));
}
-
토큰 검증
- 타이밍에 안전한 비교 기능 사용
- 토큰 존재 및 가치 확인
- 올바른 오류 처리 구현
function validateToken($userToken, $storedToken) {
if (empty($userToken) || empty($storedToken)) {
return false;
}
return hash_equals($storedToken, $userToken);
}
-
양식 구현
- 모든 형태의 토큰 포함
- 자동 토큰 주입 구현
- 토큰 순환 처리
class CSRFProtection {
public static function getTokenField() {
return sprintf(
'<input type="hidden" name="csrf_token" value="%s">',
htmlspecialchars($_SESSION['csrf_token'])
);
}
}
프레임워크별 보호
다수의 PHP 프레임워크는 내장형 CSRF 보호 기능을 제공합니다.
라라벨 예제
// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// In your form
function generateFormWithCSRFToken() {
return '<form method="POST" action="/submit">
<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
<!-- rest of your form fields -->
<input type="submit" value="Submit">
</form>';
}
// In your form processing
function validateCSRFToken() {
if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF token validation failed');
}
return true;
}
심포니 예시
// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$headers = getallheaders();
if (!isset($headers['X-CSRF-Token']) ||
!hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
http_response_code(403);
die('CSRF token validation failed');
}
}
// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';
fetch('/api/endpoint', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken,
'Content-Type': 'application/json'
},
body: JSON.stringify(data)
});
피해야 할 일반적인 함정
- 예측 가능한 토큰을 사용하지 마세요
- 전역적으로 액세스할 수 있는 JavaScript 변수에 토큰을 저장하지 마세요
- AJAX 요청에 대한 CSRF 보호를 건너뛰지 마세요
- 리퍼러 헤더 확인에만 의존하지 마세요
- 여러 양식에 동일한 토큰을 사용하지 마세요
CSRF 보호는 웹 애플리케이션 보안에 매우 중요합니다. CSRF 보호를 구현하는 데는 여러 가지 접근 방식이 있지만 숨겨진 양식 필드를 사용하는 토큰 기반 접근 방식은 여전히 가장 널리 사용되고 신뢰할 수 있는 방법입니다. 보안 강화를 위해 다양한 보호 방법을 결합하고 PHP 애플리케이션에서 CSRF 보호를 구현할 때 항상 보안 모범 사례를 따르십시오.
CSRF 보호는 적절한 세션 관리, 안전한 쿠키 처리 및 입력 유효성 검사를 포함하는 광범위한 보안 전략의 일부여야 한다는 점을 기억하세요.
위 내용은 PHP의 CSRF 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
PHP의 다른 오류 유형을 설명하십시오 (통지, 경고, 치명적인 오류, 구문 분석 오류).
Apr 08, 2025 am 12:03 AM
PHP에는 4 가지 주요 오류 유형이 있습니다. 1. NOTICE : 가장 작은 것은 정의되지 않은 변수에 액세스하는 것과 같이 프로그램을 방해하지 않습니다. 2. 경고 : 심각한 통지는 파일을 포함하지 않는 것과 같은 프로그램을 종료하지 않습니다. 3. FatalError : 가장 심각한 것은 기능을 부르는 것과 같은 프로그램을 종료합니다. 4. parseerror : 구문 오류는 엔드 태그를 추가하는 것을 잊어 버리는 것과 같이 프로그램이 실행되는 것을 방지합니다.
PHP 및 Python : 두 가지 인기있는 프로그래밍 언어를 비교합니다
Apr 14, 2025 am 12:13 AM
PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.
PHP에서 보안 비밀번호 해싱을 설명하십시오 (예 : Password_hash, Password_Verify). 왜 MD5 또는 SHA1을 사용하지 않습니까?
Apr 17, 2025 am 12:06 AM
PHP에서 Password_hash 및 Password_Verify 기능을 사용하여 보안 비밀번호 해싱을 구현해야하며 MD5 또는 SHA1을 사용해서는 안됩니다. 1) Password_hash는 보안을 향상시키기 위해 소금 값이 포함 된 해시를 생성합니다. 2) Password_verify 암호를 확인하고 해시 값을 비교하여 보안을 보장합니다. 3) MD5 및 SHA1은 취약하고 소금 값이 부족하며 현대 암호 보안에는 적합하지 않습니다.
PHP 실행 : 실제 예제 및 응용 프로그램
Apr 14, 2025 am 12:19 AM
PHP는 전자 상거래, 컨텐츠 관리 시스템 및 API 개발에 널리 사용됩니다. 1) 전자 상거래 : 쇼핑 카트 기능 및 지불 처리에 사용됩니다. 2) 컨텐츠 관리 시스템 : 동적 컨텐츠 생성 및 사용자 관리에 사용됩니다. 3) API 개발 : 편안한 API 개발 및 API 보안에 사용됩니다. 성능 최적화 및 모범 사례를 통해 PHP 애플리케이션의 효율성과 유지 보수 성이 향상됩니다.
HTTP 요청 방법 (Get, Post, Put, Delete 등)이란 무엇이며 언제 각각을 사용해야합니까?
Apr 09, 2025 am 12:09 AM
HTTP 요청 방법에는 각각 리소스를 확보, 제출, 업데이트 및 삭제하는 데 사용되는 Get, Post, Put and Delete가 포함됩니다. 1. GET 방법은 리소스를 얻는 데 사용되며 읽기 작업에 적합합니다. 2. 게시물은 데이터를 제출하는 데 사용되며 종종 새로운 리소스를 만드는 데 사용됩니다. 3. PUT 방법은 리소스를 업데이트하는 데 사용되며 완전한 업데이트에 적합합니다. 4. 삭제 방법은 자원을 삭제하는 데 사용되며 삭제 작업에 적합합니다.
PHP : 웹 개발의 핵심 언어
Apr 13, 2025 am 12:08 AM
PHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7
self ::, parent ::, 그리고 static :: php oop의 차이점을 설명하십시오.
Apr 09, 2025 am 12:04 AM
phpoop에서 self ::는 현재 클래스를 말하며, Parent ::는 부모 클래스를 말하며, static ::는 늦은 static 바인딩에 사용됩니다. 1. self :: 정적 방법과 일정한 호출에 사용되지만 늦은 정적 바인딩을 지원하지는 않습니다. 2.parent :: 하위 클래스가 상위 클래스 방법을 호출하는 데 사용되며 개인 방법에 액세스 할 수 없습니다. 3. Static ::는 상속 및 다형성에 적합한 후기 정적 결합을 지원하지만 코드의 가독성에 영향을 줄 수 있습니다.
PHP는 파일 업로드를 어떻게 단단히 처리합니까?
Apr 10, 2025 am 09:37 AM
PHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.
