PHP如何实现CSRF令牌?使用场景是什么?底层原理是什么?

最新推荐文章于 2024-12-09 10:16:09 发布
最新推荐文章于 2024-12-09 10:16:09 发布
阅读量1.1k 收藏 11
点赞数 12
分类专栏: PHP 文章标签: php csrf okhttp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36777143/article/details/142424027
版权

什么是CSRF令牌

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全漏洞,攻击者通过诱导用户在已登录的网站上执行非预期的操作。例如,攻击者可以通过诱使用户点击一个恶意链接,来利用用户的认证状态发送请求,从而执行一些操作,如更改密码、转账等。

CSRF令牌是一种防止CSRF攻击的有效方法。它是一个随机生成的值,通常存储在用户的会话中,并且每次表单提交时都必须包含这个令牌。服务器在处理请求时会验证这个令牌,确保请求是由合法用户发起的,而不是由第三方伪造的。

如何在PHP中实现CSRF令牌

以下是在PHP中实现CSRF令牌的基本步骤:

  1. 生成和存储CSRF令牌

    • 在用户会话开始时生成一个随机的CSRF令牌。
    • 将该令牌存储在用户的会话变量中。

  2. 在表单中嵌入CSRF令牌

    • 在每个需要保护的表单中添加一个隐藏字段,将CSRF令牌作为值。

  3. 验证CSRF令牌

    • 在服务器端处理表单提交时,验证提交的CSRF令牌是否与会话中的令牌匹配。
    • 如果不匹配,则拒绝请求。
示例代码
<?php
session_start();

// 生成并存储CSRF令牌
if (!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); // 生成32字节的随机令牌
}

// 显示表单
?>
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Protected Form</title>
</head>
<body>
    <form action="submit.php" method="post">
        <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
        <label for="username">Username:</label>
        <input type="text" id="username" name="username"><br><br>
        <label for="password">Password:</label>
        <input type="password" id="password" name="password"><br><br>
        <input type="submit" value="Submit">
    </form>
</body>
</html>

<?php
// submit.php - 处理表单提交
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_POST['csrf_token']) && isset($_SESSION['csrf_token']) && hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        // CSRF令牌验证成功,处理表单数据
        $username = $_POST['username'];
        $password = $_POST['password'];

        // 这里可以进行数据库操作或其他业务逻辑
        echo "Form submitted successfully! Username: $username, Password: $password";
    } else {
        // CSRF令牌验证失败
        http_response_code(403);
        echo "CSRF token validation failed. Please try again.";
    }
}
?>

使用场景

  • 表单提交:任何涉及敏感操作的表单,如登录、注册、修改密码、转账等。
  • AJAX请求:对于使用AJAX进行的异步请求,也需要包含CSRF令牌以确保请求的安全性。
  • API接口:对于RESTful API,尤其是那些可能被浏览器直接调用的接口,也应该使用CSRF令牌进行保护。

底层原理

生成随机令牌
  • 随机性:CSRF令牌必须是足够随机的,以防止被猜测或预测。使用random_bytes()函数可以生成高质量的随机数。
  • 唯一性:每个用户的会话都应该有一个唯一的CSRF令牌,这样即使两个用户同时访问同一个页面,他们的令牌也不会相同。
嵌入令牌
  • 隐藏字段:在HTML表单中,CSRF令牌通常作为一个隐藏字段嵌入。这样,当用户提交表单时,令牌也会被一起提交。
  • Cookie:另一种方法是将CSRF令牌存储在Cookie中,并在表单提交时进行验证。不过这种方法不如隐藏字段安全,因为某些攻击(如XSS)可能会窃取Cookie中的令牌。
验证令牌
  • 比较令牌:服务器在处理请求时,会检查提交的CSRF令牌是否与会话中的令牌一致。如果不一致,则认为请求可能是伪造的。
  • 一次性令牌:为了进一步提高安全性,可以在验证后立即更新或删除会话中的CSRF令牌,使其成为一次性的。这样即使令牌被泄露,也只能被使用一次。

总结

通过在PHP中实现CSRF令牌,可以有效防止CSRF攻击,保护用户的敏感操作。理解CSRF令牌的工作原理和实现方法有助于开发者设计出更安全的Web应用。记住,CSRF令牌应该与HTTPS结合使用,以确保传输过程中的安全性。

PHP 安全:使用 CSRF 令牌防止 XSS 攻击
新华编程特战队
04-25 1851
在动态的 Web 开发环境中,安全性仍然是一个最重要的问题。跨站点脚本(XSS) 和跨站点请求伪造(CSRF) 是 PHP 开发人员必须解决的两个普遍安全漏洞,以保护其应用程序。本文深入探讨了 XSS 攻击的复杂性,探讨了 CSRF 漏洞,并讨论了 CSRF 令牌在防止这些威胁方面的作用。此外,我们将指导您在 PHP实现 CSRF 代币,并引入补充安全措施。
PHPCSRF 令牌到底是干什么的?
最新发布
长风破浪会有时的博客
02-02 282
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式。想象一下,如果你在银行的网站上登录了你的账户,然后去浏览其他网站,而那个恶意网站悄悄地让你发送一条消息给银行,要求转账给别人,这显然是不安全的。CSRF 攻击就是利用你已经登录的身份,在你不知情的情况下执行某些操作。为了防止这种情况发生,网站开发者使用了一种叫做“CSRF 令牌”的东西。这个令牌就像是一个秘密的密码,只有你和网站知道。每次你要做重要操作时,比如转账,网站会检查你是否带着正确的密码。
php 获取 csrf,php – cURL CSRF令牌
weixin_28989315的博客
04-04 293
几个月前,我的同事通过获取工作时间表创建了日历订阅.我相信他是通过cURL完成的.现在我正在建立一个网站,以概述今天应该完成的任务.我想检索计划,以便我可以使用它来显示特定日期工作人员的姓名.我在网上找到了一个教程,解释了如何在登录后获取数据.我做的是我复制了登录表单中输入字段的名称,以及名为signin [_csrf_token]的隐藏字段的名称使用这些名称,我创建了以下代码:$username...
PHP 中的 CSRF 保护
电商数据代码站
12-09 666
跨站请求伪造 (csrf) 是一种网络安全漏洞,攻击者可以利用该漏洞诱骗经过身份验证的用户在他们当前登录的网站上执行不需要的操作。该攻击通过利用网站所拥有的信任来进行在用户的浏览器中。此方法使用带有自定义标头的 ajax 请求:123456789101112131415161718192021222324252627ifif$headers();if!const;
PHP-实例-CSRF
深度安全实验室
07-04 728
PHP-实例-CSRF
phpcsrf
weixin_33725239的博客
12-26 116
csrf(跨站请求伪造) 例: 你的网站添加用户是get方式进行添加,我发了一个链接让你点击下, 有可能就添加一个用户,为什么???这就是csrf。 当然这个连接不是里面的内容肯定是***者精心构造好的页面 例 <img src="url/add.php?username=0x007.blog.51cto.com&password=0x007...
精通PHP使用到底是什么意思?使用场景是什么?底层原理是什么?
长风破浪会有时的博客
10-01 968
精通 PHP使用:不仅能够熟练编写 PHP 代码,还能够深入理解其内部机制、设计模式和最佳实践。使用场景:企业级应用、社交媒体平台、API 服务、实时应用、静态站点生成、移动应用后端、教育平台、金融应用、政府和公共服务等。底层原理:包括基本语法、面向对象编程、数据库操作、性能优化、安全性、调试与测试、部署与运维等。通过理解和掌握这些核心概念和技术,你可以更有效地使用 PHP 来构建高性能、可维护的 Web 应用程序。
金三银四都在讨论跳槽面试,Java外包3年,要不要跳?
程序媛小琬的博客
03-28 942
前言 “金三银四”指的是在3月、4月,尤其是3月是应届生求职、也是在职人员跳槽到更满意职位的黄金时期。求职、跳槽,说到底,本质上就是职场人员和工作职位匹配的过程,一个萝卜一个坑,此坑不适合,自有留爷处。Java核心面试知识点整理,分享给大家。 但是,金三已到末尾,银四即将开启,时间不等人,机会错失不再,好好把握,争取一举拿下春招,顺利跳槽涨个薪。那么今天小编就分享一份“春招JAVA面试手册”,望助正在准备面试的你一臂之力! 本册共分为七大面试专栏,分别是性能优化、微服务、并发编程、开源框架、分布式等。 下
你真的了解接口测试吗?
萌笑天的博客
12-03 1万+
本文章详细介绍接口测试的基础理论知识、为什么要测试接口,测试接口有哪些好处以及相关的扩展知识和疑问解答 文章目录一、前言二、接口测试基础理论三、为什么要进行接口测试四、接口测试有哪些好处五、如何开展接口测试六、知识小课堂
红队专题-漏洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1043
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
40000+字超强总结?阿里P8把Java全栈知识体系详解整理成这份PDF
xiaohao718的博客
06-27 1524
40000 +字长文总结,已将此文整理成PDF文档了,需要的见文后下载获取方式。全栈知识体系总览Java入门与进阶面向对象与Java基础基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:A. Java进阶 - Java 集合框:Java 集合框架应用是极其广泛的,对于其总体框架用法及源码都必要深刻理解。B. Java进阶 - Java 集合框之 Collection源码解读:对核心的Collection类进行源码解读。C. Java进阶 - Java 集合框之 Map & Set 源码解读
PHP实现登陆表单提交CSRF及验证码
12-19
1、表单提交,并将其提交到本页 (1) form 属性method为post方法,修改路由,使其接收post、get的请求 Route::any('/admin/login','Admin\LoginController@login'); (2)LoginController.php 修改login方法,根据不同的请求返回不同的内容 如果请求方法为get ,返回登陆页面;如果请求为post,就行验证 use Illuminate\Support\Facades\Input; public function login() { if($input = Input::all()){ d
CSRF 令牌
卡布达的博客
11-10 573
CSRF(跨站请求伪造保护)令牌是一种安全机制,用于防止跨站请求伪造攻击。在 Django 应用中,CSRF 令牌通常用于验证请求是否由您的网站发出,以确保请求是合法的。在 Django 中,CSRF 令牌通常通过模板标签在 HTML 模板中生成。在发送 AJAX 请求时,您需要从这个标签获取 CSRF 令牌,并将其包含在请求头中。
csrf防御 php,CSRF的防御實例(PHP
weixin_29775951的博客
03-17 187
CSRF的防御可以從服務端和客戶端兩方面着手,防御效果是從服務端着手效果比較好,現在一般的CSRF防御也都在服務端進行。1.服務端進行CSRF防御服務端的CSRF方式方法很多樣,但總的思想都是一致的,就是在客戶端頁面增加偽隨機數。(1).Cookie Hashing(所有表單都包含同一個偽隨機值):這可能是最簡單的解決方案了,因為攻擊者不能獲得第三方的Cookie(理論上),所以表單中的數據也就構...
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
csrf xss php防范,phpCSRF令牌和XSS漏洞
weixin_34268617的博客
04-05 144
假设我们在表单中使用CSRF令牌,但是我们的网站上有一个未被注意的XSS漏洞.根据我的理解,在这种情况下,CSRF令牌保护完全无效,因为攻击者可以通过XSS使用XMLHttpRequest来检索它.在这种情况下,是否有办法以一种能够在攻击中幸存下来的方式来附魔CSRF保护,或者在做任何CSRF之王之前我们的网站是否应首先拥有安全的抗XSS保护?在每次页面请求时设置新令牌而不是在登录时设置令牌会处...
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)
卡尔特斯
02-24 1340
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 中文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
PHPcsrf攻击
qq_39896410的博客
02-04 1043
PHPcsrf攻击 标签: CSRFPHP 2015-12-14 20:01 2829人阅读 评论(0) 收藏 举报  分类: PHP(46)  版权声明:本文为博主原创文章,未经博主允许不得转载。 由于用户可能会从其他途径POST过来,因此我们需要防止这种情况 原理:在页面生成一个随即串并保存在token中,用于在服
PHP安全 CSRF攻击 与XSS攻击
shrimpma的专栏
04-21 1341
XSS攻击: 'request' => array( 'enableCsrfValidation' => true, ),
什么是CSRF攻击?
05-18
CSRF(Cross-Site Request Forgery)攻击是一种Web应用程序中常见的安全漏洞,攻击者可以利用该漏洞欺骗用户在不知情的情况下执行某些操作,比如在用户不知情的情况下发邮件、发微博、加好友等。攻击者通过构造恶意请求,将请求发送到服务器,而服务器无法区分是合法的请求还是恶意的请求。一旦用户点击了恶意链接或访问了恶意网站,攻击者就能够获得用户的身份认证信息,并且以此进行攻击。 防范CSRF攻击的方法有: 1. 在请求中添加token验证,确保请求是来自合法的源。 2. 不要使用基于cookie认证的方案。 3. 使用独立的子域名来存放数据,防止跨域攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值