為了防止PHP中的CSRF攻擊，請(qǐng)實(shí)施抗CSRF令牌。 1）使用Random_bytes（）或BIN2HEX（Random_bytes（32））生成和存儲(chǔ)安全令牌，將它們保存在$ _Session中，并將它們包含在隱藏輸入中。 2）通過(guò)嚴(yán)格比較郵政令牌與會(huì)話存儲(chǔ)的郵政令牌來(lái)驗(yàn)證令牌；以403的錯(cuò)誤拒絕不匹配的請(qǐng)求。 3）通過(guò)將令牌包含在標(biāo)題或車身上，通常從元標(biāo)記中檢索到Ajax/API請(qǐng)求。 4）在輸出令牌時(shí)使用HTMLSpeceialChars（）防止XSS泄漏。 5）在登錄等關(guān)鍵操作之后再生代幣。 6）設(shè)置samesite = cookie cookie的嚴(yán)格/lax，并避免進(jìn)行狀態(tài)更改。 7）重新認(rèn)證用戶以進(jìn)行敏感操作。這些步驟確保在所有請(qǐng)求類型中進(jìn)行全面的CSRF保護(hù)，同時(shí)保持安全性完整性。

為了防止PHP中的CSRF攻擊，您需要通過(guò)使用令牌來(lái)實(shí)現(xiàn)堅(jiān)實(shí)的抗CSRF策略。這個(gè)想法很簡(jiǎn)單：每個(gè)改變狀態(tài)的請(qǐng)求（例如表單提交）都應(yīng)包括只有合法用戶知道的獨(dú)特，不可預(yù)測(cè)的令牌。沒(méi)有這個(gè)令牌，服務(wù)器不應(yīng)處理請(qǐng)求。

這是在實(shí)踐中實(shí)際做得很好的方法。

生成和存儲(chǔ)抗CSRF代幣

每當(dāng)您顯示執(zhí)行操作的表格（例如提交設(shè)置或進(jìn)行購(gòu)買）時(shí)，生成安全的令牌并將其存儲(chǔ)在服務(wù)器端的某個(gè)地方（例如在會(huì)話中）。

• 使用random_bytes()或bin2hex(random_bytes(32))創(chuàng)建一個(gè)強(qiáng)令牌。
• 將其保存在$_SESSION中，因此您可以在提交表單時(shí)以后進(jìn)行比較。

例如：

 if（占（$ _ session ['csrf_token']））{
    $ _session ['csrf_token'] = bin2hex（Random_bytes（50））;
}

然后以您的形式：

 <input type =“隱藏” name =“ csrf_token” value =“ <？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>>“）？

這樣，每種表單提交都包含攻擊者無(wú)法猜測(cè)或復(fù)制的令牌。

在表單提交中驗(yàn)證令牌

提交表單時(shí)，請(qǐng)檢查帖子數(shù)據(jù)中的令牌是否與會(huì)話中存儲(chǔ)的內(nèi)容匹配。

• 始終檢查令牌的存在。
• 比較嚴(yán)格（ === ），以避免類型的問(wèn)題。
• 如果不匹配，請(qǐng)拒絕403錯(cuò)誤或類似的請(qǐng)求。

示例代碼：

 if（！isset（$ _ post ['csrf_token']）|| $ _post ['csrf_token']！== $ _session ['csrf_token']）{
    http_response_code（403）;
    DIE（“無(wú)效的CSRF令牌?！保?
}

一個(gè)小但重要的細(xì)節(jié)：將令牌輸出到HTML中時(shí)，請(qǐng)務(wù)必使用htmlspecialchars()以防止XSS泄漏令牌。

另外，不要忘記在關(guān)鍵操作（例如登錄或密碼更改）之后旋轉(zhuǎn)或再生令牌。

不要忘記AJAX請(qǐng)求和API

如果您的網(wǎng)站使用JavaScript提交表格或撥打API呼叫，則這些請(qǐng)求也需要CSRF保護(hù)。

• 將CSRF令牌包括在AJAX請(qǐng)求的標(biāo)題或主體中。
• 您可以將令牌存儲(chǔ)在元標(biāo)簽或內(nèi)聯(lián)腳本中，并在撥打電話時(shí)從那里讀取它。

例如，在您的HTML頭上設(shè)置元標(biāo)記：

 <meta name =“ csrf-token” content =“ <？= htmlspecialchars（$ _ session [&#39;csrf_token&#39;]）？>>“>”>

然后在您的JS中：

 fetch（'/update-profile'，{
    方法：“帖子”，
    標(biāo)題：{
        'x-csrf-token'：document.queryselector（'meta [name =“ csrf-token”]]'）。內(nèi)容
    }，，
    正文：新的UrlsearchParams（{名稱：'John Doe'}）
}）;

在后端，在X-CSRF-Token標(biāo)頭中查找令牌，并像常規(guī)表格一樣對(duì)其進(jìn)行驗(yàn)證。

要注意的一件事：如果您要構(gòu)建與您的PHP后端交談的單頁(yè)應(yīng)用程序（SPA）或移動(dòng)應(yīng)用程序，請(qǐng)考慮使用相同的cookie和CSRF代幣一起更好地保護(hù)。

獎(jiǎng)勵(lì)提示：Samesite Cookie和僅HTTP形式

即使有令牌，您也可以采取額外的步驟：

• 將Samesite設(shè)置為cookie上的SameSite=Strict或Lax ，以減少交叉原始請(qǐng)求。
• 確保您的表格僅在需要的情況下接受發(fā)布請(qǐng)求，而不允許獲得基于基于的狀態(tài)更改。
• 對(duì)于敏感操作（例如刪除帳戶），重新認(rèn)證有助于增加另一層。

這些不是CSRF代幣的替代品，但它們與它們并駕齊驅(qū)。

基本上就是這樣。 PHP中的CSRF保護(hù)歸結(jié)為生成好代幣，正確驗(yàn)證它們，并確保它們包括在所有相關(guān)請(qǐng)求中。它并不是太復(fù)雜了，但是如果您跳過(guò)一步，很容易弄亂。

以上是如何防止PHP中的跨站點(diǎn)偽造偽造（CSRF）攻擊？的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！