CSRF的防护实例(PHP)
1.服务端进行CSRF防护javascript
服务端的CSRF方式方法不少样,但总的思想都是一致的,就是在客户端页面增长伪随机数。php
(1).Cookie Hashing(全部表单都包含同一个伪随机值):html
这多是最简单的解决方案了,由于攻击者不能得到第三方的Cookie(理论上),因此表单中的数据也就构造失败了:>java
|
1
2
3
4
5
|
<!--?php
//构造加密的Cookie信息
$value
= “DefenseSCRF”;
setcookie(”cookie”,
$value
, time()+3600);
?-->
|
在表单里增长Hash值,以认证这确实是用户发送的请求。浏览器
|
1
2
3
4
5
6
7
8
9
|
<!--?php
$hash
= md5(
$_COOKIE
['cookie']);
?-->
<form action=
"”transfer.php”"
method=
"”POST”"
>
<input name=
"”toBankId”"
type=
"”text”"
>
<input name=
"”money”"
type=
"”text”"
>
<input name=
"”hash”"
type=
"”hidden”"
value=
"”<?=$hash;?"
>”>
<input name=
"”submit”"
type=
"”submit”"
value=
"”Submit”"
>
</form>
|
而后在服务器端进行Hash值验证安全
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<!--?php
if
(isset(
$_POST
['check'])) {
$hash
= md5(
$_COOKIE
['cookie']);
if
(
$_POST
['check'] ==
$hash
) {
doJob();
}
else
{
//...
}
}
else
{
//...
}
?-->
|
这个方法我的以为已经能够杜绝99%的CSRF攻击了,那还有1%呢....因为用户的Cookie很容易因为网站的XSS漏洞而被盗取,这就另外的1%。通常的攻击者看到有须要算Hash值,基本都会放弃了,某些除外,因此若是须要100%的杜绝,这个不是最好的方法。服务器
(2).验证码微信
这个方案的思路是:每次的用户提交都须要用户在表单中填写一个图片上的随机字符串,厄....这个方案能够彻底解决CSRF,但我的以为在易用性方面彷佛不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHTML的Bug,可能在某些版本的微软IE中受影响。cookie
(3).One-Time Tokens(不一样的表单包含一个不一样的伪随机值)session
在实现One-Time Tokens时,须要注意一点:就是“并行会话的兼容”。若是用户在一个站点上同时打开了两个不一样的表单,CSRF保护措施不该该影响到他对任何表单的提交。考虑一下若是每次表单被装入时站点生成一个伪随机值来覆盖之前的伪随机值将会发生什么状况:用户只能成功地提交他最后打开的表单,由于全部其余的表单都含有非法的伪随机值。必须当心操做以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点。
如下个人实现:
1).先是令牌生成函数(gen_token()):
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
<!--?php
function
gen_token() {
//这里我是贪方便,实际上单使用Rand()得出的随机数做为令牌,也是不安全的。
//这个能够参考我写的Findbugs笔记中的《Random object created and used only once》
$token
= md5(uniqid(rand(), true));
return
$token
;
}</pre--><p> 2).而后是Session令牌生成函数(gen_stoken()):</p><pre
class
=
"brush:php;toolbar:false"
> <!--?php
function
gen_stoken() {
$pToken
=
""
;
if
(
$_SESSION
[STOKEN_NAME] ==
$pToken
){
//没有值,赋新值
$_SESSION
[STOKEN_NAME] = gen_token();
}
else
{
//继续使用旧的值
}
}
?--></pre><p> 3).WEB表单生成隐藏输入域的函数:</p><pre
class
=
"brush:php;toolbar:false"
> <!--?php
function
gen_input() {
gen_stoken();
echo
“<input type=\”hidden\” name=\”" . FTOKEN_NAME . “\”
value=\”" .
$_SESSION
[STOKEN_NAME] . “\”--> “;
}
?></pre><p> 4).WEB表单结构:</p><pre
class
=
"brush:php;toolbar:false"
> <!--?php
session_start();
include
(”functions.php”);
?-->
<form action=
"”transfer.php”"
method=
"”POST”"
>
<input name=
"”toBankId”"
type=
"”text”"
>
<input name=
"”money”"
type=
"”text”"
>
<!--? gen_input(); ?-->
<input name=
"”submit”"
type=
"”submit”"
value=
"”Submit”"
>
</form></pre><p> 5).服务端核对令牌:</p><p> 这个很简单,这里就再也不啰嗦了。</p><p> 上面这个其实不彻底符合“并行会话的兼容”的规则,你们能够在此基础上修改。
</p><div
class
=
"share layui-clear bdsharebuttonbox bdshare-button-style0-16"
data-bd-bind=
"1536650009145"
>
<li><a
class
=
"wechat"
href=
"javascript:;"
data-cmd=
"weixin"
><i
class
=
"layui-icon"
></i>微信</a></li>
<li><a
class
=
"share-btn"
href=
"javascript:;"
data-cmd=
"more"
><i
class
=
"layui-icon"
></i>分享</a></li>
</div>
<div
class
=
"tags layui-clear"
>
<li>相关标签:<a href=
"/search?word=csrf的防护实例(php)"
target=
"_blank"
>CSRF的防护实例(PHP)</a></li>
<li
class
=
"line"
>本文原创发布php中文网 ,转载请注明出处,感谢您的尊重!</li>
</div>
<div
class
=
"page layui-clear"
>
<ul>
<li>上一篇:<a href=
"/php-weizijiaocheng-337341.html"
>PHP中的traits使用详解</a></li>
<li>下一篇:<a href=
"/php-weizijiaocheng-337343.html"
>跨站请求伪造CSRF攻防</a></li>
</ul>
</div>
|
- 1. CSRF的防护实例(PHP)
- 2. php CSRF攻击与防护
- 3. CSRF的防护
- 4. Django——CSRF防护
- 5. csrf攻击与csrf防护
- 6. csrf攻击防护
- 7. django---10---csrf防护
- 8. nginx实现CSRF和XSS防护
- 9. CSRF攻击与防护
- 10. CSRF理解与防护
- 更多相关文章...
- • XML DOM 实例 - XML DOM 教程
- • XML 实例 - XML 教程
- • 适用于PHP初学者的学习线路和建议
- • PHP开发工具
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. CSRF的防护实例(PHP)
- 2. php CSRF攻击与防护
- 3. CSRF的防护
- 4. Django——CSRF防护
- 5. csrf攻击与csrf防护
- 6. csrf攻击防护
- 7. django---10---csrf防护
- 8. nginx实现CSRF和XSS防护
- 9. CSRF攻击与防护
- 10. CSRF理解与防护