PHP 防范 CSRF 威胁的完全指南

跨站请求伪造 (CSRF) 是一种网络安全攻击，用于欺骗用户在不知情的情况下执行操作。这种攻击使攻击者能够使用受害者的身份和权限来执行端点或操作。

如何运作？

CSRF 攻击依赖于以下条件：

1. 受害者和攻击者都登录到同一个网站。
2. 受害者拥有攻击者想要执行的操作的权限。
3. 攻击者能够诱使受害者点击恶意链接或打开恶意网站。

当这些条件满足时，攻击者可以创建恶意请求并诱使受害者执行。这是通过将恶意请求嵌入到合法网站中的表单或图像中来完成的。当受害者点击恶意链接或打开恶意网站时，请求将自动向网站发送。网站会认为请求来自受害者，并因此执行请求。

如何保护自己免受 CSRF 攻击

有许多方法可以保护自己免受 CSRF 攻击。最常见的方法是使用表单令牌。表单令牌是服务器生成的唯一标识符，嵌入到表单中。当用户提交表单时，令牌也会提交。服务器验证令牌并确保它与表单中嵌入的令牌匹配。如果不匹配，则服务器将拒绝请求。

演示代码

以下代码演示了如何在 PHP 中使用表单令牌来保护表单免受 CSRF 攻击：

<?php

// Generate a unique fORM token
$token = bin2hex(random_bytes(32));

// Store the token in the session
$_SESSION["csrf_token"] = $token;

?>

<form action="submit.php" method="post">
<input type="hidden" name="csrf_token" value="<?php echo $token; ?>">
<!-- Other form fields -->
<input type="submit" value="Submit">
</form>

在 submit.php 中，您可以使用以下代码来验证令牌：

<?php

// Get the form token from the request
$token = $_POST["csrf_token"];

// Get the token from the session
$session_token = $_SESSION["csrf_token"];

// Compare the two tokens
if ($token !== $session_token) {
// The tokens do not match, so the request is invalid
echo "Invalid request";
exit;
}

// The tokens match, so the request is valid
// Process the form data

?>

其他保护措施

除了使用表单令牌之外，您还可以使用以下方法来保护自己免受 CSRF 攻击：

• 使用内容安全策略 (CSP) 头。CSP 头可以用于指定哪些源可以加载脚本、样式和图像。这可以帮助防止攻击者将恶意请求嵌入到您的网站中。
• 使用跨域资源共享 (CORS) 头。CORS 头可以用于指定哪些源可以访问您的 api。这可以帮助防止攻击者从其他网站向您的 API 发送恶意请求。
• 使用双因素身份验证 (2FA)。2FA 要求用户在登录时提供第二个身份验证因素，例如一次性密码 (OTP)。这可以帮助防止攻击者在被盗密码的情况下访问您的帐户。

结论

CSRF 是一种严重的网络安全威胁，但可以采取措施来保护自己免受攻击。通过使用表单令牌、CSP 头、CORS 头和 2FA，您可以帮助保护您的网站和 API 免受 CSRF 攻击。