> 백엔드 개발 > PHP 튜토리얼 > PHP의 CSRF 보호

PHP의 CSRF 보호

Patricia Arquette
풀어 주다: 2024-12-09 04:41:11
원래의
358명이 탐색했습니다.

CSRF Protection in PHP

CSRF란 무엇입니까?

교차 사이트 요청 위조(CSRF)는 공격자가 인증된 사용자를 속여 현재 로그인되어 있는 웹 사이트에서 원치 않는 작업을 실행하도록 하는 웹 보안 취약점입니다. 공격은 웹 사이트가 갖고 있는 신뢰를 악용하여 작동합니다. 사용자의 브라우저에서.

CSRF 공격의 작동 방식

  1. 사용자가 합법적인 웹사이트 A에 로그인하고 세션 쿠키를 받습니다
  2. 사용자가 A에 로그인한 상태에서 악성 웹사이트 B를 방문합니다
  3. 웹사이트 B에는 웹사이트 A에 요청하는 코드가 포함되어 있습니다
  4. 브라우저에 세션 쿠키가 자동으로 포함됩니다
  5. 웹사이트 A는 합법적인 것으로 간주하여 요청을 처리합니다

PHP의 CSRF 보호 방법

1. 숨겨진 입력을 사용한 토큰 기반 보호

가장 일반적인 방법입니다. 구현 방법은 다음과 같습니다.

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '<form method="POST" action="/submit">
        <input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
        <!-- rest of your form fields -->
        <input type="submit" value="Submit">
    </form>';
}

// In your form processing
function validateCSRFToken() {
    if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
        !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        die('CSRF token validation failed');
    }
    return true;
}
로그인 후 복사
로그인 후 복사

2. 사용자 정의 헤더를 사용한 CSRF 보호

이 방법은 사용자 정의 헤더와 함께 AJAX 요청을 사용합니다.

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});
로그인 후 복사
로그인 후 복사

3. 쿠키 패턴 이중 제출

이 방법에는 토큰을 쿠키와 요청 매개변수로 보내는 방법이 포함됩니다.

// Set both cookie and session token
session_start();
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;
setcookie('csrf_token', $token, [
    'httponly' => true,
    'secure' => true,
    'samesite' => 'Strict'
]);

// Validation function
function validateDoubleSubmitToken() {
    if (!isset($_COOKIE['csrf_token']) || 
        !isset($_POST['csrf_token']) || 
        !isset($_SESSION['csrf_token'])) {
        return false;
    }

    return hash_equals($_COOKIE['csrf_token'], $_POST['csrf_token']) && 
           hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']);
}
로그인 후 복사

4. SameSite 쿠키 속성

최신 애플리케이션은 SameSite 쿠키 속성을 추가 보호 계층으로 사용할 수도 있습니다.

// Set cookie with SameSite attribute
session_start();
session_set_cookie_params([
    'lifetime' => 0,
    'path' => '/',
    'domain' => $_SERVER['HTTP_HOST'],
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);
로그인 후 복사

CSRF 보호 모범 사례

  1. 토큰 생성
    • 암호적으로 안전한 난수 생성기 사용
    • 토큰을 충분히 길게 만드세요(최소 32바이트)
    • 각 세션마다 새 토큰 생성
function generateSecureToken($length = 32) {
    return bin2hex(random_bytes($length));
}
로그인 후 복사
  1. 토큰 검증
    • 타이밍에 안전한 비교 기능 사용
    • 토큰 존재 및 가치 확인
    • 올바른 오류 처리 구현
function validateToken($userToken, $storedToken) {
    if (empty($userToken) || empty($storedToken)) {
        return false;
    }
    return hash_equals($storedToken, $userToken);
}
로그인 후 복사
  1. 양식 구현
    • 모든 형태의 토큰 포함
    • 자동 토큰 주입 구현
    • 토큰 순환 처리
class CSRFProtection {
    public static function getTokenField() {
        return sprintf(
            '<input type="hidden" name="csrf_token" value="%s">',
            htmlspecialchars($_SESSION['csrf_token'])
        );
    }
}
로그인 후 복사

프레임워크별 보호

다수의 PHP 프레임워크는 내장형 CSRF 보호 기능을 제공합니다.

라라벨 예제

// In your session initialization (e.g., at login)
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In your form
function generateFormWithCSRFToken() {
    return '<form method="POST" action="/submit">
        <input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">
        <!-- rest of your form fields -->
        <input type="submit" value="Submit">
    </form>';
}

// In your form processing
function validateCSRFToken() {
    if (!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) ||
        !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        die('CSRF token validation failed');
    }
    return true;
}
로그인 후 복사
로그인 후 복사

심포니 예시

// PHP Backend
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Validate the token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $headers = getallheaders();
    if (!isset($headers['X-CSRF-Token']) || 
        !hash_equals($_SESSION['csrf_token'], $headers['X-CSRF-Token'])) {
        http_response_code(403);
        die('CSRF token validation failed');
    }
}

// JavaScript Frontend
const csrfToken = '<?php echo $_SESSION["csrf_token"]; ?>';

fetch('/api/endpoint', {
    method: 'POST',
    headers: {
        'X-CSRF-Token': csrfToken,
        'Content-Type': 'application/json'
    },
    body: JSON.stringify(data)
});
로그인 후 복사
로그인 후 복사

피해야 할 일반적인 함정

  1. 예측 가능한 토큰을 사용하지 마세요
  2. 전역적으로 액세스할 수 있는 JavaScript 변수에 토큰을 저장하지 마세요
  3. AJAX 요청에 대한 CSRF 보호를 건너뛰지 마세요
  4. 리퍼러 헤더 확인에만 의존하지 마세요
  5. 여러 양식에 동일한 토큰을 사용하지 마세요

CSRF 보호는 웹 애플리케이션 보안에 매우 중요합니다. CSRF 보호를 구현하는 데는 여러 가지 접근 방식이 있지만 숨겨진 양식 필드를 사용하는 토큰 기반 접근 방식은 여전히 ​​가장 널리 사용되고 신뢰할 수 있는 방법입니다. 보안 강화를 위해 다양한 보호 방법을 결합하고 PHP 애플리케이션에서 CSRF 보호를 구현할 때 항상 보안 모범 사례를 따르십시오.

CSRF 보호는 적절한 세션 관리, 안전한 쿠키 처리 및 입력 유효성 검사를 포함하는 광범위한 보안 전략의 일부여야 한다는 점을 기억하세요.

위 내용은 PHP의 CSRF 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:dev.to
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿