為了防止PHP中的CSRF攻擊，請實(shí)施抗CSRF令牌。 1）使用Random_bytes（）或BIN2HEX（Random_bytes（32））生成和存儲安全令牌，將它們保存在$ _Session中，並將它們包含在隱藏輸入中。 2）通過嚴(yán)格比較郵政令牌與會話存儲的郵政令牌來驗(yàn)證令牌；以403的錯誤拒絕不匹配的請求。 3）通過將令牌包含在標(biāo)題或車身上，通常從元標(biāo)記中檢索到Ajax/API請求。 4）在輸出令牌時使用HTMLSpeceialChars（）防止XSS洩漏。 5）在登錄等關(guān)鍵操作之後再生代幣。 6）設(shè)置samesite = cookie cookie的嚴(yán)格/lax，並避免進(jìn)行狀態(tài)更改。 7）重新認(rèn)證用戶以進(jìn)行敏感操作。這些步驟確保在所有請求類型中進(jìn)行全面的CSRF保護(hù)，同時保持安全性完整性。

為了防止PHP中的CSRF攻擊，您需要通過使用令牌來實(shí)現(xiàn)堅實(shí)的抗CSRF策略。這個想法很簡單：每個改變狀態(tài)的請求（例如表單提交）都應(yīng)包括只有合法用戶知道的獨(dú)特，不可預(yù)測的令牌。沒有這個令牌，服務(wù)器不應(yīng)處理請求。

這是在實(shí)踐中實(shí)際做得很好的方法。

生成和存儲抗CSRF代幣

每當(dāng)您顯示執(zhí)行操作的表格（例如提交設(shè)置或進(jìn)行購買）時，生成安全的令牌並將其存儲在服務(wù)器端的某個地方（例如在會話中）。

• 使用random_bytes()或bin2hex(random_bytes(32))創(chuàng)建一個強(qiáng)令牌。
• 將其保存在$_SESSION中，因此您可以在提交表單時以後進(jìn)行比較。

例如：

 if（佔(zhàn)（$ _ session ['csrf_token']））{
    $ _session ['csrf_token'] = bin2hex（Random_bytes（50））;
}

然後以您的形式：

 <input type =“隱藏” name =“ csrf_token” value =“ <？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>>“）？

這樣，每種表單提交都包含攻擊者無法猜測或複制的令牌。

在表單提交中驗(yàn)證令牌

提交表單時，請檢查帖子數(shù)據(jù)中的令牌是否與會話中存儲的內(nèi)容匹配。

• 始終檢查令牌的存在。
• 比較嚴(yán)格（ === ），以避免類型的問題。
• 如果不匹配，請拒絕403錯誤或類似的請求。

示例代碼：

 if（！isset（$ _ post ['csrf_token']）|| $ _post ['csrf_token']！== $ _session ['csrf_token']）{
    http_response_code（403）;
    DIE（“無效的CSRF令牌?！保?
}

一個小但重要的細(xì)節(jié)：將令牌輸出到HTML中時，請務(wù)必使用htmlspecialchars()以防止XSS洩漏令牌。

另外，不要忘記在關(guān)鍵操作（例如登錄或密碼更改）之??後旋轉(zhuǎn)或再生令牌。

不要忘記AJAX請求和API

如果您的網(wǎng)站使用JavaScript提交表格或撥打API呼叫，則這些請求也需要CSRF保護(hù)。

• 將CSRF令牌包括在AJAX請求的標(biāo)題或主體中。
• 您可以將令牌存儲在元標(biāo)籤或內(nèi)聯(lián)腳本中，並在撥打電話時從那裡讀取它。

例如，在您的HTML頭上設(shè)置元標(biāo)記：

 <meta name =“ csrf-token” content =“ <？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>>“>”>

然後在您的JS中：

 fetch（'/update-profile'，{
    方法：“帖子”，
    標(biāo)題：{
        'x-csrf-token'：document.queryselector（'meta [name =“ csrf-token”]]'）。內(nèi)容
    }，，
    正文：新的UrlsearchParams（{名稱：'John Doe'}）
}）;

在後端，在X-CSRF-Token標(biāo)頭中查找令牌，並像常規(guī)表格一樣對其進(jìn)行驗(yàn)證。

要注意的一件事：如果您要構(gòu)建與您的PHP後端交談的單頁應(yīng)用程序（SPA）或移動應(yīng)用程序，請考慮使用相同的cookie和CSRF代幣一起更好地保護(hù)。

獎勵提示：Samesite Cookie和僅HTTP形式

即使有令牌，您也可以採取額外的步驟：

• 將Samesite設(shè)置為cookie上的SameSite=Strict或Lax ，以減少交叉原始請求。
• 確保您的表格僅在需要的情況下接受發(fā)布請求，而不允許獲得基於基於的狀態(tài)更改。
• 對於敏感操作（例如刪除帳戶），重新認(rèn)證有助於增加另一層。

這些不是CSRF代幣的替代品，但它們與它們並駕齊驅(qū)。

基本上就是這樣。 PHP中的CSRF保護(hù)歸結(jié)為生成好代幣，正確驗(yàn)證它們，並確保它們包括在所有相關(guān)請求中。它並不是太複雜了，但是如果您跳過一步，很容易弄亂。

以上是如何防止PHP中的跨站點(diǎn)偽造偽造（CSRF）攻擊？的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！