Yii2 프레임워크의 csrf 검증 원리 및 토큰 캐싱 솔루션 분석

이 글은 크게 세 부분으로 구성되어 있습니다. 먼저 CSRF를 간략하게 소개하고, 소스 코드를 기반으로 Yii 프레임워크의 검증 원리를 집중적으로 분석하고, 마지막으로 페이지 캐싱으로 인한 토큰 캐싱에 대한 실행 가능한 솔루션을 제안합니다. 관련된 지식 포인트는 기사 마지막에 부록으로 첨부됩니다. 관심있는 친구들이 알아낼 수 있습니다.

1. CSRF 설명

CSRF는 "Cross-Site Request Forgery"를 의미하며 사용자의 합법적인 SESSION 내에서 실행되는 공격입니다. 해커는 웹페이지에 악성 웹 요청 코드를 삽입하고 피해자가 페이지에 액세스하도록 유인합니다. 해당 페이지에 액세스하면 피해자가 모르는 사이에 피해자의 법적 신원으로 요청이 시작되고 해커가 예상하는 작업이 수행됩니다. 다음 HTML 코드는 "상품 삭제" 기능을 제공합니다:

<a href="http://www.shop.com/delProducts.php?id=100" "javascript:return confirm(&#39;Are you sure?&#39;)">Delete</a>

프로그래머가 백그라운드에서 "상품 삭제" 요청에 대해 해당 합법성 확인을 수행하지 않는다고 가정하면, 사용자가 링크에 액세스하는 한 해당 제품은 삭제될 경우, 해커는 피해자를 속여 다음과 같은 악성코드가 포함된 웹페이지에 접속하게 한 후, 피해자가 모르는 사이에 해당 제품을 삭제할 수 있습니다.

2.yii의 csrf 검증 원칙/vendor/yiisoft/yii2/web/Request.php는 Request.php

/vendor/yiisoft/yii2/web/Controller.php는 Controller.php로 축약됩니다.

CSRF 검증 활성화

컨트롤러에서 활성화CsrfValidation을 true로 설정하면 컨트롤러의 모든 작업이 검증을 활성화합니다. 일반적인 방법은 활성화CsrfValidation을 false로 설정하고 일부 민감한 작업을 true로 설정하여 부분 검증을 활성화하는 것입니다. .

public $enableCsrfValidation = false;
/**
 * @param \yii\base\Action $action
 * @return bool
 * @desc: 局部开启csrf验证(重要的表单提交必须加入验证，加入$accessActions即可
 */
public function beforeAction($action){
    $currentAction = $action->id;
    $accessActions = ['vote','like','delete','download'];
    if(in_array($currentAction,$accessActions)) {
        $action->controller->enableCsrfValidation = true;
    }
    parent::beforeAction($action);
    return true;
}

토큰 필드 생성

In Request.php

먼저 보안 구성 요소 보안을 통해 32비트 임의 문자열을 가져와 쿠키나 세션에 저장합니다. 이것이 기본 토큰입니다.

/**
 * Generates  an unmasked random token used to perform CSRF validation.
 * @return string the random token for CSRF validation.
 */
protected function generateCsrfToken()
{
    $token = Yii::$app->getSecurity()->generateRandomString();
    if ($this->enableCsrfCookie) {
        $cookie = $this->createCsrfCookie($token);
        Yii::$app->getResponse()->getCookies()->add($cookie);
    } else {
        Yii::$app->getSession()->set($this->csrfParam, $token);
    }
    return $token;
}

그런 다음 일련의 암호화 대체 작업을 통해 브라우저에 전달되는 토큰인 암호화된 _csrfToken이 생성됩니다. 먼저 CSRF_MASK_LENGTH(Yii2의 기본값은 8비트) 길이 문자열 마스크

쌍을 무작위로 생성합니다. 마스크 및 토큰 다음 작업을 수행합니다. str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))) $this->xorTokens($ arg1,$arg2) 는 첫 번째 채우기 XOR 연산입니다str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2) 是一个先补位异或运算

/**
 * Returns the XOR result of two strings.
 * If the two strings are of different lengths, the shorter one will be padded to the length of the longer one.
 * @param string $token1
 * @param string $token2
 * @return string the XOR result
 */
private function xorTokens($token1, $token2)
{
    $n1 = StringHelper::byteLength($token1);
    $n2 = StringHelper::byteLength($token2);
    if ($n1 > $n2) {
        $token2 = str_pad($token2, $n1, $token2);
    } elseif ($n1 < $n2) {
        $token1 = str_pad($token1, $n2, $n1 === 0 ? &#39; &#39; : $token1);
    }
    return $token1 ^ $token2;
}
public function getCsrfToken($regenerate = false)
{
    if ($this->_csrfToken === null || $regenerate) {
        if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
            $token = $this->generateCsrfToken();
        }
        // the mask doesn&#39;t need to be very random
        $chars = &#39;ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.&#39;;
        $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
        // The + sign may be decoded as blank space later, which will fail the validation
        $this->_csrfToken = str_replace(&#39;+&#39;, &#39;.&#39;, base64_encode($mask . $this->xorTokens($token, $mask)));
    }

    return $this->_csrfToken;
}

验证token

在controller.php里调用request.php里的validateCsrfToken方法

/**
 * @inheritdoc
 */
public function beforeAction($action)
{
    if (parent::beforeAction($action)) {
        if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
            throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
        }
        return true;
    }
    
    return false;
}
public function validateCsrfToken($token = null)
{
    $method = $this->getMethod();
    if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
        return true;
    }

    $trueToken = $this->loadCsrfToken();//如果开启了enableCsrfCookie,CsrfToken就从cookie里取,否者从session里取(更安全)

    if ($token !== null) {
        return $this->validateCsrfTokenInternal($token, $trueToken);
    } else {
        return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
            || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
    }
}

获取客户端传入

$this->getBodyParam($this->csrfParam)

然后是validateCsrfTokenInternal

private function validateCsrfTokenInternal($token, $trueToken)
{
    if (!is_string($token)) {
        return false;
    }
    $token = base64_decode(str_replace('.', '+', $token));
    $n = StringHelper::byteLength($token);
    if ($n <= static::CSRF_MASK_LENGTH) {
        return false;
    }
    $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
    $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
    $token = $this->xorTokens($mask, $token);

    return $token === $trueToken;
}

加密时用的是 str_replace('+', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask))); 解密 1.首先要把.替换成+ 2.然后base64_decode 再 根据长度分别取出mask和mask和this->xorTokens(token,token,mask) ; 为了说明方便 this−>xorTokens(this−>xorTokens(token, $mask) 这里称作 token1 然后 进行mask和token1的异或运算,即得token 注意在加密时

token1=token^mask

所以 解密时

token=mask^token1=mask^(token^mask)

3.token缓存的解决方案

当页面整体被缓存后，token也被缓存导致验证失败，一种常见的解决思路是每次提交前重新获取token,这样就可以通过验证了。

附录：

str_pad()，该函数返回 input 被从左端、右端或者同时两端被填充到制定长度后的结果。如果可选的 pad_string 参数没有被指定，input 将被空格字符填充，否则它将被 pad_string 填充到指定长度；

str_shuffle()rrreee

verification token

controller.phprrreee

클라이언트를 수신하려면 request.php의 verifyCsrfToken 메서드를 호출하세요 rrreee

그러면 verifyCsrfTokenInternalrrreee

암호화에 사용되는 것은 str_replace('+', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask))); 복호화 1. 먼저 .를 + 2로 바꿉니다. 그런 다음 설명의 편의를 위해 마스크와 마스크 및 this->xorTokens(token,token,mask)를 꺼냅니다. 여기서 xorTokens(token, $mask)는 token1이라고 하며 마스크와 token1의 XOR 연산을 수행하여 토큰을 얻습니다. 암호화하는 동안 <span style="font-size: 16px;"></span>rrreee

🎜 따라서 🎜🎜rrreee🎜🎜3.Token 캐싱 솔루션🎜 🎜을 해독할 때 주의하세요. 🎜🎜전체 페이지가 캐시되면 토큰도 캐시되므로 확인이 실패합니다. 일반적인 해결 방법은 제출할 때마다 토큰을 다시 얻어서 확인을 통과하는 것입니다. 🎜 str_pad(), 이 함수는 입력의 왼쪽 끝, 오른쪽 끝 또는 양쪽 끝에서 지정된 길이만큼 패딩된 결과를 반환합니다. 선택적 pad_string 매개변수가 지정되지 않은 경우 입력은 다음과 같습니다. 공백 문자로 채워집니다. 그렇지 않으면 pad_string이 지정된 길이로 채워집니다. 🎜🎜🎜🎜str_shuffle() 함수는 가능한 정렬 방식을 사용하여 문자열을 섞습니다. 🎜🎜🎜🎜yii2 csrf 검증의 암호화 및 복호화에는 XOR 연산이 포함되기 때문에🎜🎜🎜🎜먼저 PHP에서 문자열 XOR 연산에 대한 관련 지식을 보충해야 합니다. 필요하지 않으면 건너뛰어도 됩니다🎜🎜 🎜🎜^XOR 연산 동일하지 않으면 1을 반환하고, 그렇지 않으면 0을 반환합니다. PHP 언어에서는 암호화 연산에 자주 사용됩니다. 또한 문자열 연산을 수행할 때 문자의 ASCII 코드가 변환됩니다. 단일 문자 연산을 수행하기 위해 바이너리로 변환🎜🎜🎜🎜 1. 단일 문자 및 단일 문자의 경우 테이블의 a^b🎜🎜🎜🎜과 같이 결과를 직접 계산할 수 있습니다. 2. 동일한 길이의 여러 문자열의 경우, 표의 ab^cd와 같이 a^c에 해당하는 결과를 계산하고 b^d🎜🎜에 해당하는 결과에 해당하는 문자와 연결하세요.

관련 튜토리얼: PHP 비디오 튜토리얼

위 내용은 Yii2 프레임워크의 csrf 검증 원리 및 토큰 캐싱 솔루션 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!