PHP의 CSRF (Cross-Site Request Properery)로부터 보호하는 방법은 무엇입니까?

PHP의 CSRF (Cross-Site Reques) 위조 (CSRF)로부터 보호하는 방법?

PHP의 CSRF (Cross-Site Reques) 공격 (CSRF) 공격은 귀하의 웹 사이트에서 유래 한 요청이 사용자가 진정으로 시작하고 악의적 인 제 3 자 사이트에 의해 시작되지 않는지 확인하기 위해 강력한 메커니즘을 구현하는 것과 관련이 있습니다. 핵심 원칙은 서버가 합법적 인 사용자 조치와 사기 요청을 구별 할 수 있도록하는 것입니다. 이것은 일반적으로 기술의 조합을 사용하여 달성됩니다. 동기화 토큰 패턴 :

이것은 가장 일반적이고 효과적인 방법입니다. 서버는 독특하고 예측할 수없는 토큰 (종종 길고 임의의 문자열)을 생성하고 서버 측의 세션 변수에 저장하고 사용자가 제출 한 HTML 양식의 숨겨진 필드로 포함합니다. 양식이 제출되면 서버는 제출 된 토큰이 세션에 저장된 토큰과 일치하는지 확인합니다. 그들이 일치하지 않으면, 요청은 잠재적으로 사기성으로 거부됩니다.

PHP 구현 예 :

2. 쿠키를 두 번 제출하십시오 : 이 방법은 무작위로 생성 된 토큰을 숨겨진 양식 필드와 쿠키 모두에 저장하는 것입니다. 서버는 두 값을 비교합니다. CSRF 공격이 양식과 쿠키를 모두 조작해야하므로 추가 보안 계층을 추가합니다. HTTP 참조 헤더 점검 :

신뢰할 수있는 독립형 메소드는 아니지만 (참조 헤더를 쉽게 조작 할 수 있기 때문에) 보충 측정으로 사용할 수 있습니다. 요청이 자신의 도메인에서 발생하는지 확인하려면 변수를 확인하십시오. 그러나이 방법은 쉽게 우회 할 수 있으므로 항상 다른 방법에 의존합니다. PHP 응용 프로그램에서 CSRF 보호를 구현하기위한 모범 사례는 무엇입니까? CSRF 보호 구현에는 하나의 기술을 사용하는 것보다 효과적으로 필요합니다. 모범 사례에는 최대 보안을위한 몇 가지 방법을 결합한 계층 접근 방식이 포함됩니다.

1. 항상 동기화 토큰 패턴을 사용하십시오 : 이것은 효과적인 CSRF 보호의 초석입니다. 암호화 적으로 안전한 임의의 숫자 생성기 (PHP의 > 예 : random_bytes()> 강력한 세션 관리 시스템 사용 :
강한 세션 ID 및 짧은 수명을 포함하여 안전한 설정으로 세션이 올바르게 구성되어 있는지 확인하십시오. useplies를 검증하십시오. CSRF와 결합 할 수있는 XSS 공격과 같은 다른 취약점을 방지하기 위해 모든 입력을 엄격하게 소독하고 검증하십시오. 프레임 워크 및 라이브러리를 정기적으로 업데이트하십시오. PHP 프레임 워크 및 최신 보안 패치를 통해 최신 보안을 유지하기 위해 최신 보안 라이브러리를 유지하십시오. (HSTS) : CSRF 보호를 손상시킬 수있는 중간 공격을 방지하기 위해 HTTPS를 시행합니다. 정기적 인 보안 감사 : > CSRF 보호 메커니즘에서 잠재적 인 약점을 식별하고 해결하기 위해 정기적 인 보안 감사를 수행하십시오. 및 응용 프로그램. 공인 된 사용자에게만 민감한 데이터 및 기능에 대한 액세스를 제한합니다.
2. PHP 기반 웹 사이트에서 CSRF 공격을 방지하기 위해 사용자 요청을 효과적으로 검증 할 수 있습니까? 효과적인 검증은 CSRF 토큰을 확인하는 것 이상으로됩니다. 여기에는다면적인 접근 방식이 포함됩니다.
CSRF 토큰을 확인하십시오 : 이것은 가장 중요합니다. 제출 된 토큰이 서버 측에 생성되고 저장된 토큰과 일치하는지 확인하십시오.
3. http 메소드를 확인하십시오 : 요청 메소드 (GET, POST, PIT, DELETE)가 작업에 대한 예상 메소드와 일치하는지 확인하십시오. 예를 들어, 중요한 업데이트는 포스트를 통해서만 허용되어야 할 것입니다. 요청 원점을 확인하십시오. (주의해서) :
헤더를 검사하는 것은 보조 검증 계층을 제공 할 수 있지만, 주로 동기화 제작자에 의존 할 수 있지만, 모든 양식에 대한 검증 및 모든 형태의 검증. 양식은 예상 데이터 유형과 형식과 일치하도록합니다. 이것은 CSRF 토큰이 유효하더라도 예상치 못한 데이터가 처리되는 것을 방지합니다. 속도 제한 : CSRF 토큰을 추측하려고 시도 할 수있는 무차별 적 공격을 방지하기 위해 구현 속도 제한을 구현합니다. 응용 프로그램 전체의 검증.

CSRF 보호 구현을 단순화하는 쉽게 사용할 수있는 PHP 라이브러리 또는 프레임 워크가 있습니까?

예, 여러 PHP 프레임 워크 및 라이브러리가 CSRF 보호를 단순화합니다.

1. Symfony : Symfony 프레임 워크는 응용 프로그램에 쉽게 통합되는 내장 CSRF 보호 메커니즘을 제공합니다. 토큰 생성, 스토리지 및 유효성 검사를 원활하게 처리합니다. Laravel :
Laravel 인 또 다른 인기있는 PHP 프레임 워크는 또한 미들웨어를 통해 탁월한 내장 CSRF 보호를 제공하고 형태 조력자를 통해 탁월한 내장 CSRF 보호 기능을 제공합니다. CSRF 보호를 응용 프로그램에 통합하는 프로세스를 단순화합니다.
2. CodeIgniter : CodeIgniter는 보안 라이브러리를 통해 CSRF 보호 기능을 제공합니다. Packagist. 그러나 애플리케이션에 통합하기 전에 항상 타사 라이브러리를 신중하게 조사하십시오.
라이브러리 나 프레임 워크의 도움을 받아도 CSRF 보호의 기본 원칙을 이해하고 종합적인 보안을 보장하기 위해 모범 사례를 구현해야합니다. 이해하지 않고 도서관에만 의존하는 것은 위험합니다.

위 내용은 PHP의 CSRF (Cross-Site Request Properery)로부터 보호하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!