伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造跨站攻击呢?
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
01 | <?php |
02 | class Crumb { |
03 | CONST SALT = "your-secret-salt" ; |
04 | static $ttl = 7200; |
05 | static public function challenge( $data ) { |
06 | return hash_hmac(’md5’, $data , self::SALT); |
07 | } |
08 | static public function issueCrumb( $uid , $action = -1) { |
09 | $i = ceil (time() / self:: $ttl ); |
10 | return substr (self::challenge( $i . $action . $uid ), -12, 10); |
11 | } |
12 | static public function verifyCrumb( $uid , $crumb , $action = -1) { |
13 | $i = ceil (time() / self:: $ttl ); |
14 | if ( substr (self::challenge( $i . $action . $uid ), -12, 10) == $crumb || |
15 | substr (self::challenge(( $i - 1) . $action . $uid ), -12, 10) == $crumb ) |
16 | return true; |
17 | return false; |
18 | } |
19 | } |
代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb
1 | <form method= "post" action= "demo.php" > |
2 | <input type= "hidden" name= "crumb" value= "<?php echo Crumb::issueCrumb($uid)?>" > |
3 | <input type= "text" name= "content" > |
4 | <input type= "submit" > |
5 | </form> |
处理表单 demo.php
对crumb进行检查
1 | <?php |
2 | if (Crumb::verifyCrumb( $uid , $_POST [’crumb’])) { |
3 | //按照正常流程处理表单 |
4 | } else { |
5 | //crumb校验失败,错误提示流程 |
6 | } |