编辑“︁PHP CSRF防护”︁（章节）

== PHP中的CSRF防护机制 ==

=== 1. 使用CSRF令牌 ===
最常用的防护方法是生成并验证CSRF令牌（Token）。基本原理是：
* 服务器生成唯一令牌并存储在会话中
* 令牌随表单一起发送给客户端
* 表单提交时验证令牌是否匹配

==== 生成令牌 ====
<syntaxhighlight lang="php">
<?php
session_start();

function generate_csrf_token() {
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}
?>
</syntaxhighlight>

==== 在表单中包含令牌 ====
<syntaxhighlight lang="html">
<form action="process.php" method="post">
    <input type="hidden" name="csrf_token" value="<?php echo generate_csrf_token(); ?>">
    <!-- 其他表单字段 -->
    <input type="submit" value="提交">
</form>
</syntaxhighlight>

==== 验证令牌 ====
<syntaxhighlight lang="php">
<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
        die("CSRF令牌验证失败！");
    }
    
    // 安全处理表单数据
    // ...
}
?>
</syntaxhighlight>

=== 2. 同源策略与SameSite Cookie ===
PHP 7.3+支持设置SameSite Cookie属性，可有效防御CSRF：

<syntaxhighlight lang="php">
<?php
session_set_cookie_params([
    'lifetime' => 86400,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);
session_start();
?>
</syntaxhighlight>

* '''Strict''': 完全禁止跨站请求携带Cookie
* '''Lax''': 允许安全方法（如GET）的跨站请求