php如何跨站post,如何使用PHP正确添加跨站点请求伪造(CSRF)令牌

最新推荐文章于 2022-07-25 14:38:06 发布
最新推荐文章于 2022-07-25 14:38:06 发布
阅读量233 收藏
点赞数
文章标签: php如何跨站post

小编典典

对于安全代码,请不要以这种方式生成令牌: $token = md5(uniqid(rand(), TRUE));

rand() 是可以预见的

uniqid() 最多只加29位熵

md5() 不添加熵,而是确定性地将其混合

试试看:

生成CSRF令牌

PHP 7

session_start();

if (empty($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));

}

$token = $_SESSION['token'];

旁注:我老板的一个开源项目是一项向后移植random_bytes()并移植random_int()到PHP

5项目中的计划。它是MIT许可的软件,可在Github和Composer上以paragonie /random_compat的形式获得。

PHP 5.3+(或ext-mcrypt)

session_start();

if (empty($_SESSION['token'])) {

if (function_exists('mcrypt_create_iv')) {

$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));

} else {

$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));

}

}

$token = $_SESSION['token'];

验证CSRF令牌

不要只是使用==甚至===使用hash_equals()(仅适用于PHP5.6+,但适用于具有hash-compat库的早期版本)。

if (!empty($_POST['token'])) {

if (hash_equals($_SESSION['token'], $_POST['token'])) {

// Proceed to process the form data

} else {

// Log this as a warning and keep an eye on these attempts

}

}

通过表单令牌进一步发展

您可以使用进一步限制令牌仅可用于特定形式hash_hmac()。HMAC是一种特殊的键控哈希函数,即使具有较弱的哈希函数(例如MD5),也可以安全使用。但是,我建议改为使用SHA-2系列哈希函数。

首先,生成第二个令牌用作HMAC密钥,然后使用类似以下的逻辑来呈现它:

然后在验证令牌时使用全等运算:

$calc = hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);

if (hash_equals($calc, $_POST['token'])) {

// Continue...

}

在不知道的情况下,无法为另一种形式重用为一种形式生成的令牌$_SESSION['second_token']。

重要的是,您要使用一个单独的令牌作为HMAC密钥,而不是您刚刚在页面上丢弃的令牌。

奖励:混合方法+ Twig集成

使用Twig模板引擎的任何人都可以通过在其Twig环境中添加以下过滤器来从简化的双重策略中受益:

$twigEnv->addFunction(

new \Twig_SimpleFunction(

'form_token',

function($lock_to = null) {

if (empty($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));

}

if (empty($_SESSION['token2'])) {

$_SESSION['token2'] = random_bytes(32);

}

if (empty($lock_to)) {

return $_SESSION['token'];

}

return hash_hmac('sha256', $lock_to, $_SESSION['token2']);

}

)

);

使用此Twig函数,您可以使用两个通用令牌,如下所示:

或锁定的变体:

Twig只关心模板渲染。您仍然必须正确验证令牌。我认为,Twig战略提供了更大的灵活性和简便性,同时又保持了最大安全性的可能性。

一次性CSRF令牌

如果您有一个安全要求,即每个CSRF令牌只能使用一次,则最简单的策略是在每次成功验证后重新生成它。但是,这样做会使之前的所有令牌失效,而这与一次浏览多个选项卡的人不能很好地融合在一起。

Paragon Initiative Enterprises为这些极端情况维护了一个反CSRF库。它仅与一次性使用的形式令牌一起使用。当会话数据中存储了足够的令牌(默认配置:65535)时,它将首先循环出最旧的未兑换令牌。

2020-05-26

Bella S
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CSRF跨站请求伪造实例程序
11-07
一个php做的简单的银行管理系统,利用cookie值来达到跨站伪造请求的目的,最终造成银行账户余额被修改。
Django CSRF跨站请求伪造防护过程解析
09-18
4. **AJAX请求**:对于使用JavaScript的异步请求(如AJAX),需要手动获取并添加CSRF令牌。可以通过读取`csrftoken` Cookie来获取令牌,并将其作为HTTP头部`X-CSRFToken`发送。 5. **局部启用与禁用**:在某些特殊...
php 跨站请求伪造,CSRF跨站请求伪造)在Flash中的利用
weixin_39733821的博客
03-24 62
0x00 前言CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往...
PHP 中的跨站请求伪造
allway2的博客
07-25 302
其他类型的资源,如常规HTML表单或任何其他状态更改路由,必须通过手动生成和检查CSRF令牌来明确保护。开发人员必须通过检查会话令牌使用许多经过良好测试的库和框架之一来手动实现它。OWASPCSRFProtector是一个独立的php库,用于Web应用程序中的CSRF缓解。Twig函数在模板中生成一个CSRF令牌,并将其存储为隐藏的表单字段。然后,在控制器动作中获取CSRF令牌的值,并使用。考虑使用常规HTML表单来删除资源。要使用它,只需包含库并调用。...
PHP-漏洞之一】网站请求伪造
Chanson
04-25 505
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。 攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。 例如:某个购物网站购买商品时,采用http://www.taobao.com/gouma
php 登陆令牌例子,PHP Token(令牌)设计应用
weixin_30913041的博客
03-10 215
PHP Token(令牌)设计 设计目标: 避免重复提交数据. 检查来路,是否是外部提交 匹配要执行的动作(如果有多个逻辑在同一个页面实现,比如新增,删除,修改放到一个PHP文件里操作) 这里所说的token是在页面显示的时候,写到FORM的一个隐藏表单项(type=hidden). token不可明文,如果是明文,那就太危险了,所以要采用一定的加密方式.密文要可逆.俺算法很白痴,所以采用了网上一...
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
php中防止伪造跨站请求的小招式
10-28
PHP开发中,防止伪造跨站请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
php漏洞之网站请求伪造与防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
security-csrf:Security CSRF跨站请求伪造)组件提供了一个CsrfTokenManager类,用于生成和验证CSRF令牌
02-05
CSRF跨站请求伪造,Cross-Site Request Forgery)是一种网络攻击手段,攻击者通过诱导用户执行非预期的操作,来利用用户在某个网站上的已登录状态,从而达到恶意目的。在Web应用开发中,Symfony Security组件是...
PHP 简单验证码(支持域名调用)
09-18
* 可直接引入图片 * 本站可直接取 $_SESSION['check'] 参数对照验证 域名PHP引用验证可带参数,例如 http://www.botu.in/index.php?code=3232 返回JSON参数 1为正确 0为错误 域名jQueryAjax引用验证可带参数,例如 http://www.botu.in/index.php?code=3232&jsoncallback=? 返回JSON参数 1为正确 0为错误
PHP漏洞全解————6、跨站请求伪造
Fly_鹏程万里
04-30 632
本文主要介绍针对PHP网站的网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的HTTP 请求,事实上,跟踪一个用户发送的HTTP请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。...
django 页面进行ajax post提交时,页面要添加{% csrf_token %}
xiaoxiao_wang1的博客
08-23 276
{% csrf_token %} 进行ajax前,页面要添加{% csrf_token %}, 防止cookie过期,导致post方式提交的请求失败。 在页面中,{% csrf_token %}会编译为一个input hidden,当发起请求前,请求头设置cookie以保证能通过服务器验证。 日常写的js文件中只有读取cookie,如果没写{% csrf_token %},当cookie到期时,就无法正常请求 ...
在django中使用post方法时,需要增加csrftoken
qq_27361945的博客
03-13 3590
从百度查到在django中,使用post方法时,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改:注:这是一个js文件,需要引入到html模板中:<script src="/static/javascript/post_need_csrftoken.js"></script>这样做比使用{% csrf_toke...
php 获取 csrf,php – cURL CSRF令牌
weixin_28989315的博客
04-04 212
几个月前,我的同事通过获取工作时间表创建了日历订阅.我相信他是通过cURL完成的.现在我正在建立一个网站,以概述今天应该完成的任务.我想检索计划,以便我可以使用它来显示特定日期工作人员的姓名.我在网上找到了一个教程,解释了如何在登录后获取数据.我做的是我复制了登录表单中输入字段的名称,以及名为signin [_csrf_token]的隐藏字段的名称使用这些名称,我创建了以下代码:$username...
php网页post提交,PHPPost 方式请求网页数据
weixin_36040777的博客
03-10 602
PHPPost 方式请求网页数据/*** Post 方式请求网页数据** @param string $url 网页地址* @prarm string $host 主机* @param string $session 会话值* @prarm string $type 类型(POST、GET)* @prarm string $port 端口* @prarm strin...
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 451
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
CSRF 跨站请求伪造
进无止境
07-06 154
CSRF(Cross Site Request Forgery),中文是跨站请求伪造CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。 举个列子 假如A站为受信任的银行网站,其中有个银行转账的表单;B站为黑客网站,其中有个页面带有伪造A站银行转账表单提交的请求,当用户登录A站后,在...
php每次请求制造一个token,php csrf问题,一个请求生成一个csrf key token,但是界面用了两个POST?...
weixin_42494160的博客
03-27 114
没关系的呀,审核的csrf_token 都是session给的,我懂了,您的csrf_token是 放表单里的对吧,您可以放在meta标签里呀,通过ajax提交表单。或者甩在form外面每次异步提交就无所谓了,渲染视图的时候放在meta标签里或者丢出去,异步提交的时候抓回来丢到后端就可以了$.request('post','/reg',{});$.extend({/*** $.ajax请求的封装*...
Django中的CSRF(跨站请求伪造)
最新发布
05-21
Django中的CSRF是一种安全机制,可以防止跨站请求伪造攻击。在Django中,默认情况下,所有的POST、PUT、DELETE请求都需要在请求中包含一个名为`csrfmiddlewaretoken`的CSRF令牌。 具体来说,Django在生成表单时会自动在表单中添加一个隐藏的input元素来存储CSRF令牌,例如: ```html <form method="post"> {% csrf_token %} <!-- 其他表单元素 --> </form> ``` 当用户提交表单时,Django会验证请求中的CSRF令牌是否与服务器端生成的令牌匹配。如果不匹配,则Django会抛出一个`CSRFTokenError`异常,阻止请求继续进行。 除了在表单中添加CSRF令牌外,还可以使用Django提供的`csrf_exempt`装饰器来排除某个视图函数或类的CSRF验证,例如: ```python from django.views.decorators.csrf import csrf_exempt from django.http import HttpResponse @csrf_exempt def my_view(request): # 不进行CSRF验证的代码 return HttpResponse('OK') ``` 需要注意的是,如果你关闭了CSRF验证,或者在某些情况下不使用CSRF令牌,那么你需要确保其他安全措施的存在,以保证你的应用程序不会受到跨站请求伪造攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值