PHP Editor Apple membawakan anda panduan muktamad "Membunuh Ancaman CSRF: Cara Mencegah PHP (Pemalsuan Permintaan Rentas Tapak) ialah ancaman keselamatan rangkaian biasa yang menggunakan identiti pengguna untuk melakukan operasi tanpa kebenaran. Panduan ini akan meneroka secara mendalam prinsip, impak dan kaedah pencegahan serangan CSRF, dan menyediakan penyelesaian pencegahan komprehensif dan petua praktikal untuk membantu anda melindungi tapak web anda dengan berkesan daripada serangan CSRF. Baca sekarang untuk meningkatkan keselamatan tapak web anda!
Bagaimana ia berfungsi?
Serangan CSRF bergantung pada syarat berikut:
Apabila syarat ini dipenuhi, penyerang boleh membuat permintaan berniat jahat dan menipu mangsa untuk melaksanakannya. Ini dilakukan dengan membenamkan permintaan berniat jahat ke dalam borang atau imej dalam tapak web yang sah. Apabila mangsa mengklik pada pautan hasad atau membuka tapak web hasad, permintaan dihantar secara automatik ke tapak web tersebut. Laman web akan menganggap bahawa permintaan itu datang daripada mangsa dan melaksanakan permintaan itu dengan sewajarnya.
Bagaimana untuk melindungi diri anda daripada serangan CSRF
Terdapat banyak cara untuk melindungi diri anda daripada serangan CSRF. Cara yang paling biasa ialah menggunakan token borang. Token borang ialah pengecam unik yang dijana oleh pelayan dan dibenamkan dalam borang. Apabila pengguna menyerahkan borang, token juga diserahkan. Pelayan mengesahkan token dan memastikan ia sepadan dengan token yang dibenamkan dalam borang. Jika tiada padanan, pelayan akan menolak permintaan.
Kod demo
Kod berikut menunjukkan cara menggunakan token borang dalam PHP untuk melindungi borang daripada serangan CSRF:
<?php // Generate a unique fORM token $token = bin2hex(random_bytes(32)); // Store the token in the session $_SESSION["csrf_token"] = $token; ?> <form action="submit.php" method="post"> <input type="hidden" name="csrf_token" value="<?php echo $token; ?>"> <!-- Other form fields --> <input type="submit" value="Submit"> </form>
Dalam submit.php
anda boleh menggunakan kod berikut untuk mengesahkan token:
<?php // Get the form token from the request $token = $_POST["csrf_token"]; // Get the token from the session $session_token = $_SESSION["csrf_token"]; // Compare the two tokens if ($token !== $session_token) { // The tokens do not match, so the request is invalid echo "Invalid request"; exit; } // The tokens match, so the request is valid // Process the form data ?>
Langkah perlindungan lain
Selain menggunakan token borang, anda juga boleh menggunakan kaedah berikut untuk melindungi diri anda daripada serangan CSRF:
Kesimpulan
CSRF ialah siberancaman keselamatan yang serius, tetapi terdapat langkah yang boleh anda ambil untuk melindungi diri anda daripada serangan. Dengan menggunakan token borang, pengepala CSP, pengepala CORS dan 2FA, anda boleh membantu melindungi tapak web dan API anda daripada serangan CSRF.
Atas ialah kandungan terperinci Bunuh Ancaman CSRF: Panduan Terbaik untuk Mencegah PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!