跳转到内容

PHP CSRF防护:修订间差异

来自代码酷
可视化wikitext
Admin留言 | 贡献
行政员、​界面管理员、​管理员
8,039次编辑
Page creation by admin bot
 
Admin留言 | 贡献
行政员、​界面管理员、​管理员
8,039次编辑
Page update by admin bot
 
第1行: 第1行:
= PHP CSRF防护 =
= PHP CSRF防护 =


CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全威胁,攻击者利用用户已登录的身份,在用户不知情的情况下执行非预期的操作。PHP开发者必须理解并实施有效的CSRF防护措施,以保护表单提交和敏感操作的安全性。
'''跨站请求伪造'''(Cross-Site Request Forgery,简称CSRF)是一种常见的Web安全漏洞,攻击者通过诱导用户在已认证的Web应用中执行非预期的操作。PHP开发者必须理解并实施有效的CSRF防护措施,以确保应用的安全性。


== 什么是CSRF攻击? ==
== 什么是CSRF攻击? ==
CSRF攻击发生在攻击者诱使用户浏览器向目标网站发送恶意请求时。例如,如果用户已登录银行网站,攻击者可以通过伪造请求(如转账操作)来利用用户的会话状态。
CSRF攻击利用了Web应用对用户浏览器的信任机制。当用户登录某个网站后,攻击者可以诱使用户访问恶意页面,该页面会向目标网站发送伪造的请求。由于用户的浏览器会自动携带认证信息(如Cookies),目标网站会误认为这是用户的合法操作。


=== 攻击流程示例 ===
<mermaid>
<mermaid>
sequenceDiagram
sequenceDiagram
     participant 用户
     participant 用户
     participant 恶意网站
     participant 恶意网站
     participant 银行网站
     participant 目标网站
     用户->>银行网站: 登录并获取有效会话
 
     用户->>恶意网站: 访问攻击者页面
     用户->>目标网站: 登录并获取会话Cookie
     恶意网站->>银行网站: 伪造请求(使用用户会话)
     用户->>恶意网站: 访问攻击者构造的页面
     银行网站->>用户: 执行非预期操作(如转账)
     恶意网站->>目标网站: 自动发送伪造请求(携带用户Cookie)
     目标网站-->>恶意网站: 执行非预期操作(如转账、改密)
</mermaid>
</mermaid>


== 如何防护CSRF攻击 ==
== PHP中的CSRF防护机制 ==
PHP中常用的CSRF防护方法是使用'''CSRF令牌(Token)'''。以下是实现步骤:


=== 1. 生成CSRF令牌 ===
=== 1. 使用CSRF令牌 ===
在表单显示时生成唯一令牌,并存储在会话中:
最常用的防护方法是生成并验证CSRF令牌(Token)。基本原理是:
* 服务器生成唯一令牌并存储在会话中
* 令牌随表单一起发送给客户端
* 表单提交时验证令牌是否匹配


==== 生成令牌 ====
<syntaxhighlight lang="php">
<syntaxhighlight lang="php">
<?php
<?php
session_start();
session_start();
if (empty($_SESSION['csrf_token'])) {
 
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
function generate_csrf_token() {
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}
}
?>
?>
</syntaxhighlight>
</syntaxhighlight>


=== 2. 在表单中嵌入令牌 ===
==== 在表单中包含令牌 ====
将令牌作为隐藏字段添加到HTML表单:
 
<syntaxhighlight lang="html">
<syntaxhighlight lang="html">
<form action="process.php" method="POST">
<form action="process.php" method="post">
     <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
     <input type="hidden" name="csrf_token" value="<?php echo generate_csrf_token(); ?>">
     <!-- 其他表单字段 -->
     <!-- 其他表单字段 -->
     <input type="submit" value="提交">
     <input type="submit" value="提交">
第43行: 第50行:
</syntaxhighlight>
</syntaxhighlight>


=== 3. 验证令牌 ===
==== 验证令牌 ====
在处理表单提交时验证令牌是否匹配:
 
<syntaxhighlight lang="php">
<syntaxhighlight lang="php">
<?php
<?php
session_start();
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
     if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
     if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
         die("CSRF令牌验证失败!");
         die("CSRF令牌验证失败!");
     }
     }
   
     // 安全处理表单数据
     // 安全处理表单数据
    // ...
}
}
?>
?>
</syntaxhighlight>
</syntaxhighlight>


== 高级防护技术 ==
=== 2. 同源策略与SameSite Cookie ===
对于需要更高安全性的应用,可以考虑以下增强措施:
PHP 7.3+支持设置SameSite Cookie属性,可有效防御CSRF:


=== 同源检测 ===
检查<code>Origin</code>或<code>Referer</code>头部:
<syntaxhighlight lang="php">
<syntaxhighlight lang="php">
$allowedOrigins = ['https://yourdomain.com'];
<?php
if (!in_array($_SERVER['HTTP_ORIGIN'], $allowedOrigins, true)) {
session_set_cookie_params([
    die("非法请求来源!");
    'lifetime' => 86400,
}
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);
session_start();
?>
</syntaxhighlight>
</syntaxhighlight>


=== 双重提交Cookie ===
* '''Strict''': 完全禁止跨站请求携带Cookie
1. 设置包含CSRF令牌的Cookie
* '''Lax''': 允许安全方法(如GET)的跨站请求
2. 要求AJAX请求在头部携带相同令牌


== 实际案例 ==
== 实际案例 ==
'''案例:电子商务网站支付系统'''
 
假设攻击者构造了如下恶意页面:
=== 银行转账场景 ===
假设有一个银行转账功能,没有CSRF防护的攻击流程:
 
1. 用户登录银行网站(bank.com)
2. 攻击者构造恶意页面:
<syntaxhighlight lang="html">
<syntaxhighlight lang="html">
<img src="https://example.com/transfer?amount=1000&to=attacker" width="0" height="0">
<img src="https://bank.com/transfer?to=attacker&amount=1000" width="0" height="0">
</syntaxhighlight>
</syntaxhighlight>
3. 用户访问该页面时,自动发起转账请求
=== 防护后的解决方案 ===
实施CSRF令牌后:
* 表单必须包含有效令牌
* 服务器验证令牌有效性
* 攻击者无法获取或预测令牌
== 高级防护技术 ==


'''防护方案:'''
=== 双重提交Cookie模式 ===
1. 支付表单必须包含CSRF令牌
1. 服务器设置随机Cookie
2. 后端验证令牌有效性
2. 表单提交时要求客户端发送相同值
3. 对敏感操作要求二次认证
3. 验证两者是否匹配
 
=== 自定义HTTP头 ===
对于AJAX请求,可以要求包含自定义头:
<syntaxhighlight lang="javascript">
// jQuery示例
$.ajax({
    url: 'api/action',
    headers: { 'X-CSRF-Token': '<?php echo generate_csrf_token(); ?>' }
});
</syntaxhighlight>


== 数学原理 ==
== 数学原理 ==
CSRF防护的核心是确保请求的'''不可预测性'''。令牌的熵值计算:
CSRF防护的核心是确保请求包含攻击者无法预测的秘密值。从信息论角度看:
 
<math>
<math>
H = -\sum_{i=1}^{n} P(x_i) \log_b P(x_i)
H(T) \geq 128 \text{ bits}
</math>
</math>
其中256位随机令牌的熵值达到256比特,使暴力破解不可行。


== 常见错误及解决方案 ==
其中<math>H(T)</math>是令牌T的熵,应至少128位才能抵抗暴力破解。
{| class="wikitable"
 
|+ CSRF防护常见问题
== 最佳实践 ==
! 错误 !! 解决方案
* 为每个表单生成唯一令牌
|-
* 令牌应有足够熵值(使用<code>random_bytes()</code>)
| 令牌不更新 || 每次表单提交后重新生成令牌
* 重要操作应使用POST请求
|-
* 结合SameSite Cookie属性
| 令牌范围过广 || 为不同功能使用独立令牌
* 定期轮换令牌(但保持用户体验)
|-
| 仅依赖Cookie || 结合表单令牌和Cookie验证
|}


== 总结 ==
== 常见错误 ==
有效的CSRF防护需要:
* 在URL中传递令牌(可能被记录)
1. 为每个表单生成唯一令牌
* 全局重用同一个令牌
2. 严格验证服务器端令牌
* 不验证请求方法(GET/POST)
3. 对敏感操作实施额外保护
* 使用可预测的令牌生成算法
4. 保持令牌的机密性和随机性


通过实施这些措施,PHP开发者可以显著降低CSRF攻击的风险,保护用户数据和系统安全。
通过实施这些防护措施,PHP开发者可以显著降低CSRF攻击的风险,保护用户数据和系统安全。


[[Category:编程语言]]
[[Category:编程语言]]
[[Category:PHP]]
[[Category:PHP]]
[[Category:PHP表单处理]]
[[Category:PHP安全编程]]

2025年5月2日 (五) 00:29的最新版本

PHP CSRF防护[编辑 | 编辑源代码]

跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种常见的Web安全漏洞,攻击者通过诱导用户在已认证的Web应用中执行非预期的操作。PHP开发者必须理解并实施有效的CSRF防护措施,以确保应用的安全性。

什么是CSRF攻击?[编辑 | 编辑源代码]

CSRF攻击利用了Web应用对用户浏览器的信任机制。当用户登录某个网站后,攻击者可以诱使用户访问恶意页面,该页面会向目标网站发送伪造的请求。由于用户的浏览器会自动携带认证信息(如Cookies),目标网站会误认为这是用户的合法操作。

攻击流程示例[编辑 | 编辑源代码]

sequenceDiagram participant 用户 participant 恶意网站 participant 目标网站 用户->>目标网站: 登录并获取会话Cookie 用户->>恶意网站: 访问攻击者构造的页面 恶意网站->>目标网站: 自动发送伪造请求(携带用户Cookie) 目标网站-->>恶意网站: 执行非预期操作(如转账、改密)

PHP中的CSRF防护机制[编辑 | 编辑源代码]

1. 使用CSRF令牌[编辑 | 编辑源代码]

最常用的防护方法是生成并验证CSRF令牌(Token)。基本原理是:

  • 服务器生成唯一令牌并存储在会话中
  • 令牌随表单一起发送给客户端
  • 表单提交时验证令牌是否匹配

生成令牌[编辑 | 编辑源代码]

<?php
session_start();

function generate_csrf_token() {
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}
?>

在表单中包含令牌[编辑 | 编辑源代码]

<form action="process.php" method="post">
    <input type="hidden" name="csrf_token" value="<?php echo generate_csrf_token(); ?>">
    <!-- 其他表单字段 -->
    <input type="submit" value="提交">
</form>

验证令牌[编辑 | 编辑源代码]

<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
        die("CSRF令牌验证失败!");
    }
    
    // 安全处理表单数据
    // ...
}
?>

2. 同源策略与SameSite Cookie[编辑 | 编辑源代码]

PHP 7.3+支持设置SameSite Cookie属性,可有效防御CSRF: 

<?php
session_set_cookie_params([
    'lifetime' => 86400,
    'path' => '/',
    'domain' => 'example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Strict'
]);
session_start();
?>
  • Strict: 完全禁止跨站请求携带Cookie
  • Lax: 允许安全方法(如GET)的跨站请求

实际案例[编辑 | 编辑源代码]

银行转账场景[编辑 | 编辑源代码]

假设有一个银行转账功能,没有CSRF防护的攻击流程:

1. 用户登录银行网站(bank.com) 2. 攻击者构造恶意页面: 

<img src="https://bank.com/transfer?to=attacker&amount=1000" width="0" height="0">

3. 用户访问该页面时,自动发起转账请求

防护后的解决方案[编辑 | 编辑源代码]

实施CSRF令牌后:

  • 表单必须包含有效令牌
  • 服务器验证令牌有效性
  • 攻击者无法获取或预测令牌

高级防护技术[编辑 | 编辑源代码]

双重提交Cookie模式[编辑 | 编辑源代码]

1. 服务器设置随机Cookie 2. 表单提交时要求客户端发送相同值 3. 验证两者是否匹配

自定义HTTP头[编辑 | 编辑源代码]

对于AJAX请求,可以要求包含自定义头: 

// jQuery示例
$.ajax({
    url: 'api/action',
    headers: { 'X-CSRF-Token': '<?php echo generate_csrf_token(); ?>' }
});

数学原理[编辑 | 编辑源代码]

CSRF防护的核心是确保请求包含攻击者无法预测的秘密值。从信息论角度看:

H(T)128 bits

其中H(T)是令牌T的熵,应至少128位才能抵抗暴力破解。

最佳实践[编辑 | 编辑源代码]

  • 为每个表单生成唯一令牌
  • 令牌应有足够熵值(使用random_bytes()
  • 重要操作应使用POST请求
  • 结合SameSite Cookie属性
  • 定期轮换令牌(但保持用户体验)

常见错误[编辑 | 编辑源代码]

  • 在URL中传递令牌(可能被记录)
  • 全局重用同一个令牌
  • 不验证请求方法(GET/POST)
  • 使用可预测的令牌生成算法

通过实施这些防护措施,PHP开发者可以显著降低CSRF攻击的风险,保护用户数据和系统安全。

检索自“https://wiki.echo.cool/index.php?title=PHP_CSRF防护&oldid=21423