CSRF攻擊是利用用戶已登錄身份偽造請求。具體來說，攻擊者誘導(dǎo)用戶訪問惡意網(wǎng)站，在用戶不知情的情況下以用戶名義發(fā)送請求，執(zhí)行非本意操作。防範(fàn)CSRF的常見方式是使用CSRF Token機制，1.生成唯一隨機Token；2.將Token保存在Session和表單隱藏字段中；3.提交時比對兩者是否一致。其他防護手段包括檢查Referer頭、設(shè)置SameSite Cookie屬性、引入驗證碼機制。易忽略點包括AJAX請求未加Token、Token生成不安全、錯誤地將Token存入Cookie。正確做法是只將Token存儲在Session中，並通過隱藏字段傳遞。

CSRF（Cross-Site Request Forgery，跨站請求偽造）是一種常見的Web安全漏洞。攻擊者通過誘導(dǎo)用戶訪問惡意網(wǎng)站，在用戶不知情的情況下，以用戶的名義向目標(biāo)網(wǎng)站發(fā)送請求，執(zhí)行一些非用戶本意的操作，比如修改密碼、轉(zhuǎn)賬等。

這種攻擊之所以能成功，是因為瀏覽器在發(fā)送請求時會自動帶上與目標(biāo)網(wǎng)站相關(guān)的Cookie信息。只要用戶之前登錄過該網(wǎng)站，並且尚未退出，攻擊者就可以“冒充”這個用戶進(jìn)行操作。

什麼是CSRF攻擊？

簡單來說，CSRF就是利用了用戶已經(jīng)登錄的身份，偷偷發(fā)起請求。例如：

• 用戶登錄了一個銀行網(wǎng)站bank.com
• 攻擊者誘導(dǎo)用戶訪問一個惡意頁面，裡面有一個隱藏的表單，提交地址是bank.com/transfer
• 表單自動提交後，由於用戶還在登錄狀態(tài)，服務(wù)器就執(zhí)行了轉(zhuǎn)賬操作

整個過程用戶可能毫無察覺，但操作卻已由攻擊者完成。

如何在PHP中防止CSRF攻擊？

要在PHP中防範(fàn)CSRF，最常見也是最有效的方式是使用CSRF Token機制。具體步驟如下：

• 在每次生成表單時，生成一個唯一的隨機Token
• 將Token同時保存在Session和表單的隱藏字段中
• 當(dāng)表單提交時，比對Session中的Token和提交上來的Token是否一致

如果兩者不一致，說明請求來源不可信，直接拒絕處理。

舉個例子：

 // 生成Token並存入Session
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(50));
}

// 輸出表單時嵌入Token
echo &#39;<input type="hidden" name="csrf_token" value="&#39; . $_SESSION[&#39;csrf_token&#39;] . &#39;">&#39;;

// 提交處理時驗證Token
if ($_POST[&#39;csrf_token&#39;] !== $_SESSION[&#39;csrf_token&#39;]) {
    die(&#39;非法請求&#39;);
}

這種方式可以有效防止跨域請求偽造，因為攻擊者無法獲取到用戶當(dāng)前頁面中的Token值。

還有哪些其他防護手段？

除了Token之外，還可以結(jié)合以下方法加強防護：

• 檢查Referer頭：確保請求來自你自己的網(wǎng)站

  注意：有些瀏覽器或隱私設(shè)置可能會屏蔽Referer，不能單獨依賴它

• SameSite Cookie屬性：將Cookie設(shè)置為SameSite=Strict或Lax

  這樣瀏覽器就不會在跨站請求中攜帶Cookie，從源頭減少風(fēng)險

• 驗證碼機制：對於高敏感操作（如修改密碼），加上驗證碼確認(rèn)

  雖然用戶體驗略差，但安全性更高

這些方式可以作為Token機制的補充，形成多層防禦體系。

哪些地方容易忽略？

有時候開發(fā)者只在表單中用了Token，但在AJAX請求裡忘了加，這就留下了漏洞。
另外，Token要足夠隨機且不可預(yù)測，不能用時間戳或簡單的字符串拼接。

還有人把Token存在Cookie裡，這也不安全，因為跨站請求同樣能讀取Cookie。
正確做法是只存在Session裡，並通過隱藏字段傳給前端。

基本上就這些。保護好CSRF，其實不復(fù)雜，但細(xì)節(jié)做不到位就容易被攻破。

以上是描述CSRF的概念以及如何在PHP中保護它的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！