防止CSRF的核心是验证请求来源合法性,常用方法为表单令牌机制。1. 生成并存储CSRF令牌:用户访问表单页面时,PHP使用session_start()开启会话,通过bin2hex(random_bytes(32))生成安全令牌,存入$_SESSION['csrf_token']并作为隐藏字段嵌入表单。2. 验证提交的令牌:表单提交后,服务器检查$_POST['csrf_token']是否存在,并用hash_equals()对比其与$_SESSION['csrf_token']是否一致,防止时序攻击,不匹配则拒绝请求。3. 提升安全性建议:为不同功能设置独立令牌(如login_token)、设置令牌过期时间、敏感操作增加二次验证(如验证码),避免使用GET请求修改数据。只要每次提交都验证令牌,配合session和随机生成机制,即可有效防御大多数CSRF攻击。
防止CSRF(跨站请求伪造)的核心在于验证请求是否来自合法的用户操作。在PHP中,最常用且有效的方法是使用表单令牌(Token)机制。通过为每个表单生成唯一的、一次性使用的令牌,并在服务器端验证该令牌,可以有效阻止恶意网站伪造请求。
1. 生成并存储CSRF令牌
在用户访问包含表单的页面时,服务器应生成一个随机且难以预测的令牌,并将其保存在用户的session中,同时嵌入到表单中。
- 使用
session_start()开启会话 - 生成加密安全的令牌,例如使用
bin2hex(random_bytes(32)) - 将令牌存入
$_SESSION['csrf_token'] - 将同一令牌作为隐藏字段插入表单
示例代码:
<?php
session_start();
if (!isset($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
?>
<form method="POST" action="process.php">
<input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
<!-- 其他表单字段 -->
<input type="text" name="username">
<button type="submit">提交</button>
</form>
2. 验证提交的CSRF令牌
当表单提交后,服务器必须检查请求中的令牌是否与session中存储的一致。如果不匹配,拒绝处理请求。
立即学习“PHP免费学习笔记(深入)”;
- 检查
$_POST['csrf_token']是否存在 - 与
$_SESSION['csrf_token']进行比较 - 建议使用
hash_equals()防止时序攻击 - 验证通过后可选择重置令牌(增强安全性)
验证示例:
<?php
session_start();
<p>if ($_POST['csrf_token']) {
if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
die('CSRF令牌验证失败,请求非法');
}
} else {
die('缺少CSRF令牌');
}</p><p>// 安全地处理表单数据
echo "表单数据已安全提交";
?></p>3. 提升令牌安全性的建议
为了进一步提高防护强度,可以采取以下措施:
- 每个表单独立令牌:不同功能使用不同名称的令牌(如 login_token, delete_token)
- 设置过期时间:为令牌添加时间戳,超过一定时间(如30分钟)则失效
- 敏感操作二次确认:删除、修改密码等操作增加验证码或确认步骤
- 避免GET请求修改数据:只用POST、PUT、DELETE等方法执行状态更改操作
基本上就这些。只要每次提交都验证来源合法性,配合session机制使用随机令牌,就能有效防御绝大多数CSRF攻击。不复杂但容易忽略细节,比如使用random_bytes而不是rand(),以及用hash_equals做比较。
