随着 Web 应用程序的发展和普及,网络安全问题变得越来越重要。跨站请求伪造(CSRF)攻击成为了其中一种常见的攻击手段。CSRF攻击是指攻击者通过仿冒合法用户的请求来执行一些恶意操作,例如在用户没有意识到的情况下转账、修改密码等。为了保护用户和 Web 应用程序的安全,开发者需要采取措施来防御此类攻击。本文将介绍如何使用 PHP 来防御CSRF攻击。

什么是CSRF?

CSRF,全称为Cross-Site Request Forgery(跨站请求伪造),是一种常见的网络安全漏洞和攻击方式。它利用了Web应用程序中的信任机制,通过欺骗用户在已登录的状态下执行非意愿的操作,从而导致未经授权的请求被发送到目标网站。

CSRF攻击的基本原理

  1. 用户在已登录的状态下访问恶意网站或点击恶意链接。
  2. 恶意网站或链接中包含了对目标网站的请求,该请求可能是修改用户个人信息、进行资金转账、删除数据等未经授权的操作。
  3. 用户的浏览器会自动发送该请求,因为用户已经在目标网站中登录并保留了有效的身份验证凭证(如Cookie)。
  4. 目标网站接收到请求后,无法分辨这是来自用户的合法请求还是恶意请求,并按照请求执行了相应的操作。

生成和验证CSRF令牌

生成CSRF令牌
session_start();
$token = bin2hex(random_bytes(32)); // 生成32个字节的随机令牌
$_SESSION['csrf_token'] = $token; // 将令牌存储在会话中
在表单中嵌入CSRF令牌
<form action="process.php" method="POST">
  <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
  <!-- 其他表单字段 -->
  <button type="submit">提交</button>
</form>
验证CSRF令牌
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    // 令牌验证失败,执行相应的错误处理
    die("CSRF攻击检测到!请求被拒绝。");
  }
  // 令牌验证成功,继续处理请求
}

同源检测

检查请求的来源头部

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  $referer = $_SERVER['HTTP_REFERER'];
  $origin = $_SERVER['HTTP_ORIGIN'];
  
  $allowedOrigins = array('https://example.com', 'https://www.example.com'); // 允许的合法来源
  
  if (!in_array($referer, $allowedOrigins) || !in_array($origin, $allowedOrigins)) {
    // 来源验证失败,执行相应的错误处理
    die("CSRF攻击检测到!请求被拒绝。");
  }
  // 来源验证成功,继续处理请求
}

添加验证码

生成和验证验证码
session_start();
$randomNumber = rand(1000, 9999); // 生成随机验证码
$_SESSION['captcha'] = $randomNumber; // 将验证码存储在会话中

// 在表单中显示验证码图像
<img src="captcha.php" alt="验证码">

// 验证用户输入的验证码
session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
  if (!isset($_POST['captcha']) || $_POST['captcha'] !== $_SESSION['captcha']) {
    // 验证码验证失败,执行相应的错误处理
    die("验证码验证失败!请求被拒绝。");
  }
  // 验证码验证成功,继续处理请求
}

设置HTTP头部

设置SameSite属性为Strict或Lax
header('Set-Cookie: mycookie=value; SameSite=Strict');

header('Set-Cookie: mycookie=value; SameSite=Lax');

总结

保护PHP应用免受CSRF攻击是至关重要的安全措施。通过生成和验证CSRF令牌、进行同源检测、添加验证码、设置HTTP头部和使用安全框架等方法,可以防止恶意用户利用CSRF攻击来执行未经授权的操作。开发人员应该根据具体应用的需求和安全级别选择合适的防御措施,并定期审查和更新这些措施,以确保应用的安全性。通过采取适当的CSRF防御措施,可以防止潜在的安全威胁,保护用户和应用的数据安全。