PHP 代码安全：跨站请求伪造 (CSRF) 的预防指南

为了防止跨站请求伪造 (csrf) 攻击，php 代码安全指南建议采取以下措施：使用 csrf 令牌、在表单中包含 csrf 令牌、验证 csrf 令牌、将 samesite 属性添加到会话 cookie。通过这些措施，可以有效保护网站免受 csrf 攻击，确保用户的操作安全可靠。

PHP 代码安全：跨站请求伪造 (CSRF) 的预防指南

跨站请求伪造 (CSRF) 攻击是一种网络攻击，其中攻击者诱骗用户在受害网站上执行未经授权的操作。为了保护您的 PHP 代码免受 CSRF 攻击，有以下几种预防措施：

使用 CSRF 令牌

CSRF 令牌是随机生成的令牌，包含在每个 HTTP 请求中。令牌在用户会话中进行存储，并与服务器上的预期令牌进行比较。如果令牌不匹配，则请求将被拒绝。

<?php
session_start();

// 生成随机 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;
?>

登录后复制

在表单中包含 CSRF 令牌

为防止攻击者向您的表单提交伪造的请求，请将 CSRF 令牌包括在每个表单中。

<form action="submit.php" method="POST">
  <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
  <input type="submit" value="Submit">
</form>

登录后复制

验证 CSRF 令牌

在服务器端，验证每个请求中的 CSRF 令牌。如果令牌不匹配，则拒绝该请求。

<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  // 验证 CSRF 令牌
  if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
    http_response_code(400);
    echo "无效的 CSRF 令牌";
    exit;
  }
}

登录后复制

将 SameSite 属性添加到会话 Cookie

SameSite 属性可防止会话 Cookie 在跨域请求中发送，从而进一步保护您的网站免受 CSRF 攻击。

<?php
ini_set('session.cookie_samesite', 'Lax');
?>

登录后复制

实战案例：保护电子邮件地址更改表单

以下示例展示了如何在注册表中使用 CSRF 保护更改电子邮件地址的方案：

<?php
session_start();

// 生成 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrfToken'] = $csrfToken;

// 显示更改电子邮件地址的表单
?>
<form action="change-email.php" method="POST">
  <input type="hidden" name="csrfToken" value="<?php echo $_SESSION['csrfToken']; ?>">
  <input type="text" name="newEmail" placeholder="新电子邮件地址">
  <input type="submit" value="更改电子邮件地址">
</form>
<?php

// 验证 CSRF 令牌并更新电子邮件
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  if (!isset($_POST['csrfToken']) || $_POST['csrfToken'] !== $_SESSION['csrfToken']) {
    http_response_code(400);
    echo "无效的 CSRF 令牌";
    exit;
  }

  // 更新电子邮件地址
  // ...
}

登录后复制

以上就是PHP 代码安全：跨站请求伪造 (CSRF) 的预防指南的详细内容，更多请关注叮当号网其它相关文章！