简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 백엔드 개발 > PHP 튜토리얼 > 본문

사이트 간 요청 위조 공격을 방지하기 위한 PHP 프로그래밍 방법

王林
풀어 주다: 2023-07-05 13:42:01
원래의
1344명이 탐색했습니다.

사이트 간 요청 위조 공격을 방지하기 위한 PHP 프로그래밍 방법

인터넷이 발전하면서 웹 애플리케이션이 점점 더 대중화되고 있습니다. 그러나 웹 애플리케이션은 또한 광범위한 네트워크 공격에 직면해 있으며, 그 중 하나는 CSRF(Cross-Site Request Forgery) 공격입니다. 이 기사에서는 PHP 프로그래밍 기술을 사용하여 CSRF 공격을 방지하고 관련 코드 예제를 제공하는 방법을 살펴보겠습니다.

CSRF 공격의 원리는 공격자가 사용자가 로그인한 ID를 사용하여 사용자가 모르는 사이에 대상 웹사이트에 악의적인 작업을 수행할 수 있는 요청을 보내는 것입니다. 이는 사용자 계정 변경, 민감한 정보 삭제 등 공격자의 불법적인 목적을 달성하기 위한 것입니다.

CSRF 공격을 방지하기 위해 다음 프로그래밍 방식을 채택할 수 있습니다.

  1. 요청 소스 확인: 먼저 무작위로 생성된 토큰이 포함된 웹 사이트 양식에 숨겨진 필드를 추가합니다. 사용자가 양식을 제출하면 서버는 토큰이 존재하고 유효한지 확인합니다. 이렇게 하면 요청 소스를 신뢰할 수 없는 경우 서버는 요청 실행을 거부합니다. 다음은 이 기능을 구현하는 샘플 코드입니다. 
<?php
// 生成 CSRF 令牌
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;

// 在表单中添加隐藏域
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';

// 验证 CSRF 令牌
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die('Invalid CSRF token');
}
// 继续处理请求
// ...
?>
로그인 후 복사
  1. 보안 SameSite 쿠키 속성 설정: 교차 사이트 요청을 방지하기 위해 쿠키의 SameSite 속성을 "strict" 또는 "lax"로 설정할 수 있습니다. 이렇게 하면 쿠키가 원래 사이트와 동일한 컨텍스트에서만 전송될 수 있습니다. 다음은 SameSite 속성을 설정하기 위한 샘플 코드입니다. 
<?php
// 设置 Cookie 的 SameSite 属性
session_set_cookie_params(['samesite' => 'strict']);
session_start();
?>
로그인 후 복사
  1. 확인 코드 메커니즘 추가: 위의 방법 외에도 확인 코드 메커니즘을 추가하여 보안을 강화할 수도 있습니다. 사용자가 민감한 작업(예: 비밀번호 변경)을 수행하는 경우 사용자는 해당 작업의 실제 개시자인지 확인하기 위해 확인 코드를 입력해야 합니다.

CSRF 공격으로부터 웹 애플리케이션을 보호하려면 요청 소스 확인, 보안 SameSite 쿠키 속성 설정, 확인 코드 메커니즘 사용 등 일련의 조치를 취해야 합니다. 이러한 프로그래밍 방식은 CSRF 공격의 위험을 크게 줄이고 웹 애플리케이션의 보안을 향상시킬 수 있습니다.

그러나 이러한 방법이 절대적으로 안전하지는 않다는 점은 주목할 가치가 있습니다. 해커들은 또한 끊임없이 새로운 공격 기술을 개발하고 있습니다. 따라서 우리는 네트워크 보안 동향에 세심한 주의를 기울이고 보호 전략을 지속적으로 업데이트하고 개선해야 합니다.

요컨대 프로그래밍 방식으로 CSRF 공격을 방지하는 것은 웹 애플리케이션 보안의 중요한 부분입니다. 요청 소스를 확인하고, 보안 SameSite 쿠키 속성을 설정하고, 확인 코드 메커니즘을 추가함으로써 CSRF 공격의 위험을 크게 줄일 수 있습니다. 이 기사가 독자들이 이러한 보호 조치를 이해하고 적용하는 데 도움이 되기를 바랍니다.

참고 자료:

  • OWASP CSRF 예방 치트 시트: https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
  • PHP 세션 관리: https://www.php.net/manual/en / 기능.세션.php

위 내용은 사이트 간 요청 위조 공격을 방지하기 위한 PHP 프로그래밍 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
验证 token csrf
원천:php.cn
이전 기사:PHP 및 Vue.js를 사용하여 악의적인 스크립트 삽입 공격을 방어하기 위한 모범 사례를 개발하는 방법 다음 기사:얼굴 인식 기능을 구현하기 위해 PHP를 통해 Alibaba Cloud 얼굴 감지 인터페이스에 연결하는 방법
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
양식의 객체 필드 유효성 검사 - Vue 3 + Vee-validate + yes 일부 필드가 개체 내부에 있는 양식이 있습니다. <scriptsetuplang="ts">...constschema:yup.Schema...
에서 2023-11-16 13:56:09
0
1
169
3개의 가능한 인증자를 사용하여 사용자 이름 'phptest01072003@gmail.com'으로 SMTP 서버에 인증할 수 없습니다. 3개의 가능한 인증자를 사용하여 SMTP 서버에서 사용자 이름 "phptest01072003@gmail.com"으로 인증할 수 없습니다. 인증자...
에서 2023-11-09 23:58:07
0
1
311
Laravel 9 및 Livewire 유효성 검사: 업데이트되지 않는 한 고유성 유효성 검사 다음 유효성 검사는 새 레코드를 생성할 때 작동하지만, 레코드를 업데이트할 때 Partner_code 및 Seed_code가 고유한 유효성 검사에서 중단됩니다. ...
에서 2023-11-09 17:41:05
0
2
204
Vue 개발 도구의 구성 요소 옆에 있는 성능 수치는 무엇입니까? Vue 개발 도구의 특정 기능에 대한 통찰력이나 리소스를 갖고 있는 사람이 있나요? 구성 요소 창에는 구성 요소가 표시되고 작은 빨간색과 노란색 사각형이 표시되며...
에서 2023-11-09 14:46:48
0
1
305
퀘이사에서 vuelidate를 사용할 때 발생하는 오류에 대한 해결 방법: "ReferenceError: 프로세스가 정의되지 않았습니다." 저는 Quasar 프레임워크를 사용하여 애플리케이션을 구축하고 있습니다. 양식 유효성 검사를 위해 유효성 검사를 위해 vuelidate를 사용하고 있습니다. Qu...
에서 2023-11-07 08:36:55
0
1
243
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!