Bunuh Ancaman CSRF: Panduan Terbaik untuk Mencegah PHP

PHP Editor Apple membawakan anda panduan muktamad "Membunuh Ancaman CSRF: Cara Mencegah PHP (Pemalsuan Permintaan Rentas Tapak) ialah ancaman keselamatan rangkaian biasa yang menggunakan identiti pengguna untuk melakukan operasi tanpa kebenaran. Panduan ini akan meneroka secara mendalam prinsip, impak dan kaedah pencegahan serangan CSRF, dan menyediakan penyelesaian pencegahan komprehensif dan petua praktikal untuk membantu anda melindungi tapak web anda dengan berkesan daripada serangan CSRF. Baca sekarang untuk meningkatkan keselamatan tapak web anda!

Bagaimana ia berfungsi?

Serangan CSRF bergantung pada syarat berikut:

1. Kedua-dua mangsa dan penyerang dilog masuk ke tapak web yang sama.
2. Mangsa mempunyai kebenaran untuk tindakan yang ingin dilakukan oleh penyerang.
3. Penyerang boleh menipu mangsa supaya mengklik pada pautan berniat jahat atau membuka tapak web berniat jahat.

Apabila syarat ini dipenuhi, penyerang boleh membuat permintaan berniat jahat dan menipu mangsa untuk melaksanakannya. Ini dilakukan dengan membenamkan permintaan berniat jahat ke dalam borang atau imej dalam tapak web yang sah. Apabila mangsa mengklik pada pautan hasad atau membuka tapak web hasad, permintaan dihantar secara automatik ke tapak web tersebut. Laman web akan menganggap bahawa permintaan itu datang daripada mangsa dan melaksanakan permintaan itu dengan sewajarnya.

Bagaimana untuk melindungi diri anda daripada serangan CSRF

Terdapat banyak cara untuk melindungi diri anda daripada serangan CSRF. Cara yang paling biasa ialah menggunakan token borang. Token borang ialah pengecam unik yang dijana oleh pelayan dan dibenamkan dalam borang. Apabila pengguna menyerahkan borang, token juga diserahkan. Pelayan mengesahkan token dan memastikan ia sepadan dengan token yang dibenamkan dalam borang. Jika tiada padanan, pelayan akan menolak permintaan.

Kod demo

Kod berikut menunjukkan cara menggunakan token borang dalam PHP untuk melindungi borang daripada serangan CSRF:

<?php

// Generate a unique fORM token
$token = bin2hex(random_bytes(32));

// Store the token in the session
$_SESSION["csrf_token"] = $token;

?>

<form action="submit.php" method="post">
<input type="hidden" name="csrf_token" value="<?php echo $token; ?>">
<!-- Other form fields -->
<input type="submit" value="Submit">
</form>

Dalam submit.php anda boleh menggunakan kod berikut untuk mengesahkan token:

<?php

// Get the form token from the request
$token = $_POST["csrf_token"];

// Get the token from the session
$session_token = $_SESSION["csrf_token"];

// Compare the two tokens
if ($token !== $session_token) {
// The tokens do not match, so the request is invalid
echo "Invalid request";
exit;
}

// The tokens match, so the request is valid
// Process the form data

?>

Langkah perlindungan lain

Selain menggunakan token borang, anda juga boleh menggunakan kaedah berikut untuk melindungi diri anda daripada serangan CSRF:

• Menggunakan Kandungan Keselamatan Pengepala Polisi (CSP). Pengepala CSP boleh digunakan untuk menentukan sumber yang boleh memuatkan skrip, gaya dan imej. Ini boleh membantu menghalang penyerang daripada membenamkan permintaan berniat jahat ke dalam tapak web anda.
• Gunakan pengepala Perkongsian Sumber Silang Asal (CORS). Pengepala CORS boleh digunakan untuk menentukan asal yang boleh mengakses api anda. Ini boleh membantu menghalang penyerang daripada menghantar permintaan berniat jahat kepada API anda daripada tapak web lain.
• Gunakan pengesahan dua faktor (2FA). 2FA memerlukan pengguna untuk menyediakan faktor pengesahan kedua semasa log masuk, seperti kata laluan sekali sahaja (OTP). Ini boleh membantu menghalang penyerang daripada mengakses akaun anda jika kata laluan anda dicuri.

Kesimpulan

CSRF ialah siberancaman keselamatan yang serius, tetapi terdapat langkah yang boleh anda ambil untuk melindungi diri anda daripada serangan. Dengan menggunakan token borang, pengepala CSP, pengepala CORS dan 2FA, anda boleh membantu melindungi tapak web dan API anda daripada serangan CSRF.

Atas ialah kandungan terperinci Bunuh Ancaman CSRF: Panduan Terbaik untuk Mencegah PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!