Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP

WBOY
Lepaskan: 2024-02-25 13:08:01
ke hadapan
831 orang telah melayarinya

1. Prinsip serangan CSRF

Editor PHP Zimo membawa anda mendalami seni pencegahan pemalsuan permintaan merentas tapak PHP (CSRF). Serangan CSRF ialah salah satu ancaman keselamatan rangkaian yang melakukan operasi berniat jahat dengan menyamarkan permintaan pengguna. Adalah penting untuk memahami cara mengenal pasti dan mencegah serangan CSRF Mari kita belajar bersama cara mendapatkan cerapan tentang potensi ancaman, menguasai kawalan global dan memastikan keselamatan tapak web.

2. Bagaimana untuk mencegah serangan CSRF

2.1 Menggunakan token borang

Token borang ialah langkah pencegahan CSRF yang mudah. Sertakan token yang dijana secara rawak dalam setiap bentuk dan sahkan token itu di bahagian server. Jika token tidak sepadan, permintaan ditolak.

2.2 Menggunakan token penyegerakan

Token penyegerakan adalah serupa dengan token bentuk, tetapi ia lebih selamat. Salinan token penyegerakan disimpan pada kedua-dua sisi klien dan pelayan dan dibandingkan pada setiap permintaan. Jika token tidak sepadan, permintaan ditolak.

2.3 Menggunakan token anti-CSRF

Token anti-CSRF ialah langkah pencegahan CSRF yang lebih maju. Ia menggunakan medan Perujuk dalam pengepala permintaan Http untuk mengesahkan sumber permintaan. Jika medan Perujuk tidak sepadan, permintaan akan ditolak.

2.4 Langkah berjaga-jaga yang lain

Selain kaedah di atas, terdapat langkah lain untuk mencegah serangan CSRF, termasuk:

  • Dayakan protokol HTTP Strict Transport Security (HSTS)
  • Gunakan Dasar Keselamatan Kandungan (CSP)
  • Gunakan Perkongsian Sumber Silang Asal (CORS)

3. Kod demo

Berikut ialah contoh kod yang menunjukkan cara menggunakan token borang untuk melindungi daripada serangan CSRF:

<?PHP
session_start();

// 生成随机令牌
$token = bin2hex(random_bytes(16));

// 将令牌存储到会话中
$_SESSION["csrf_token"] = $token;
?>

<fORM action="process.php" method="post">
<input type="hidden" name="csrf_token" value="<?php echo $token; ?>">
<input type="text" name="username">
<input type="passWord" name="password">
<input type="submit" value="Login">
</form>

<?php
// 处理表单
if (isset($_POST["csrf_token"]) && $_POST["csrf_token"] === $_SESSION["csrf_token"]) {
// 表单已验证,可以安全地处理数据
} else {
// 表单未验证,拒绝请求
echo "Invalid CSRF token.";
}
?>
Salin selepas log masuk

4. Kesimpulan

Serangan CSRF adalah ancaman yang serius, tetapi ia boleh dielakkan dengan mengambil langkah berjaga-jaga yang sewajarnya. Dengan menggunakan token borang, token penyegerakan, token anti-CSRF dan pertahanan lain, pembangun boleh melindungi tapak mereka daripada serangan CSRF.

Atas ialah kandungan terperinci Fahami ancaman dan kawal: Seni pencegahan pemalsuan permintaan silang tapak (CSRF) PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:lsjlt.com
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan
Tentang kita Penafian Sitemap
Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!