PHPでのCSRF攻撃を防ぐには、抗CSRFトークンを?qū)g裝します。 1）random_bytes（）またはbin2hex（random_bytes（32））を使用して安全なトークンを生成して保存し、$ _sessionで保存し、隠された入力としてフォームに含めます。 2）ポストトークンをセッションで保存されたものと厳密に比較することにより、トークンを提出時に検証します。 403エラーで不一致のリクエストを拒否します。 3）ヘッダーまたはボディにトークンを含めることにより、AJAX/APIリクエストを保護(hù)します。多くの場合、メタタグから取得します。 4）トークンを出力するときにhtmlspecialchars（）を使用して、XSS漏れを防ぎます。 5）ログインのような重要なアクションの後にトークンを再生します。 6）セッションCookieのSAMESITE = STRICT/LAXを設(shè)定し、狀態(tài)の変更の取得を避けます。 7）機(jī)密アクションについてユーザーを再認(rèn)証します。これらの手順により、セキュリティの完全性を維持しながら、すべての要求タイプにわたって包括的なCSRF保護(hù)が保証されます。

PHPでのCSRF攻撃を防ぐには、主にトークンを使用して、強(qiáng)固な抗CSRF戦略を?qū)g裝する必要があります。アイデアは簡単です。すべての狀態(tài)を変えるリクエスト（フォーム提出など）には、正當(dāng)なユーザーだけが知っている獨自の予測不可能なトークンを含める必要があります。このトークンがなければ、サーバーはリクエストを処理してはなりません。

実際に実際にうまくやる方法は次のとおりです。

アンチCSRFトークンを生成して保存します

アクションを?qū)g行するフォームを表示するたびに（設(shè)定を送信したり購入したりするなど）、安全なトークンを生成し、セッションのようにサーバー側(cè)の安全な場所に保存します。

• random_bytes()またはbin2hex(random_bytes(32))を使用して、強(qiáng)いトークンを作成します。
• フォームが送信されたら後で比較できるように、 $_SESSIONで保存します。

例えば：

 if（empty（$ _ session ['csrf_token']））{
    $ _Session ['csrf_token'] = bin2hex（random_bytes（50））;
}

それからあなたのフォームで：

 <入力型= "hidden" name = "csrf_token" value = "<？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>">

このように、各フォームの提出には、攻撃者が推測または再現(xiàn)できないトークンが含まれています。

フォームの提出でトークンを検証します

フォームが送信されたら、ポストデータのトークンがセッションに保存されているものと一致するかどうかを確認(rèn)します。

• 常にトークンの存在を確認(rèn)してください。
• タイプジャグリングの問題を避けるために、それを厳密に（ === ）比較してください。
• 一致しない場合は、403エラーなどでリクエストを拒否します。

例コード：

 if（！isset（$ _ post ['csrf_token']）|| $ _post ['csrf_token']！== $ _session ['csrf_token']）{
    http_response_code（403）;
    die（ '無効なcsrfトークン。'）;
}

小さいながらも重要な詳細(xì)：トークンをHTMLに出力するときは、XSSがトークンの漏れを防ぐときは、常にhtmlspecialchars()を使用してください。

また、ログインやパスワードの変更などの重要なアクションの後、トークンを回転または再生することを忘れないでください。

AjaxリクエストとAPIを忘れないでください

サイトがJavaScriptを使用してフォームを送信したり、API呼び出しを行ったりする場合、これらのリクエストにはCSRF保護(hù)も必要です。

• AJAXリクエストのヘッダーまたはボディにCSRFトークンを含めます。
• トークンをメタタグまたはインラインスクリプトに保存し、電話をかけるときにそこから読むことができます。

たとえば、HTMLヘッドにメタタグを設(shè)定します。

 <meta name = "csrf-token" content = "<？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>">

それからあなたのJSで：

 fetch（ '/update-profile'、{
    方法：「投稿」、
    ヘッダー：{
        'x-csrf-token'：document.queryselector（ 'meta [name = "csrf-token"]'）。コンテンツ
    }、
    ボディ：新しいurlsearchparams（{name： 'John Doe'}）
}）;

バックエンドで、 X-CSRF-Tokenヘッダーのトークンを探して、通常のフォームと同じように検証します。

注意すべきことの1つは、PHPバックエンドに通知する?yún)g一ページアプリ（SPA）またはモバイルアプリを構(gòu)築する場合は、より良い保護(hù)のために同じサイトCookieとCSRFトークンを一緒に使用することを検討してください。

ボーナスのヒント：Samesite CookieとHTTPのみのフォーム

トークンがあっても、あなたがとることができる余分な手順があります：

• セッションクッキーにSameSite=StrictまたはLaxを設(shè)定して、クロスオリジンリクエストを減らします。
• フォームが必要な場合にのみPOSTリクエストを受け入れることを確認(rèn)してください。GETベースの狀態(tài)の変更を許可しないでください。
• 機(jī)密操作（アカウントの削除など）の場合、再認(rèn)証は別のレイヤーを追加するのに役立ちます。

これらはCSRFトークンの代替品ではありませんが、それらと一緒にうまく機(jī)能します。

それは基本的にそれです。 PHPのCSRF保護(hù)は、優(yōu)れたトークンの生成、それらを適切に検証し、関連するすべてのリクエストに含まれていることを確認(rèn)することになります。それは過度に複雑ではありませんが、1つのステップをスキップすると混亂するのは簡単です。

以上がPHPでのクロスサイトリクエスト偽造（CSRF）攻撃を防ぐにはどうすればよいですか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。