CSRF的防护实例(PHP)
CSRF的防护能够从服务端和客户端两方面着手,防护效果是从服务端着手效果比较好,如今通常的CSRF防护也都在服务端进行。php
1.服务端进行CSRF防护
服务端的CSRF方式方法不少样,但总的思想都是一致的,就是在客户端页面增长伪随机数。html
(1).Cookie Hashing(全部表单都包含同一个伪随机值):浏览器
这多是最简单的解决方案了,由于攻击者不能得到第三方的Cookie(理论上),因此表单中的数据也就构造失败了:>安全
|
1
2
3
4
5
|
<?php
//构造加密的Cookie信息
$value = “DefenseSCRF”;
setcookie(”cookie”, $value, time()+3600);
?>
|
在表单里增长Hash值,以认证这确实是用户发送的请求。服务器
|
1
2
3
4
5
6
7
8
9
|
<?php
$hash = md5($_COOKIE['cookie']);
?>
<form method=”POST” action=”transfer.php”>
<input type=”text” name=”toBankId”>
<input type=”text” name=”money”>
<input type=”hidden” name=”hash” value=”<?=$hash;?>”>
<input type=”submit” name=”submit” value=”Submit”>
</form>
|
而后在服务器端进行Hash值验证cookie
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<?php
if(isset($_POST['check'])) {
$hash = md5($_COOKIE['cookie']);
if($_POST['check'] == $hash) {
doJob();
} else {
//...
}
} else {
//...
}
?>
|
这个方法我的以为已经能够杜绝99%的CSRF攻击了,那还有1%呢....因为用户的Cookie很容易因为网站的XSS漏洞而被盗取,这就另外的1%。通常的攻击者看到有须要算Hash值,基本都会放弃了,某些除外,因此若是须要100%的杜绝,这个不是最好的方法。session
(2).验证码dom
这个方案的思路是:每次的用户提交都须要用户在表单中填写一个图片上的随机字符串,厄....这个方案能够彻底解决CSRF,但我的以为在易用性方面彷佛不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHTML的Bug,可能在某些版本的微软IE中受影响。函数
(3).One-Time Tokens(不一样的表单包含一个不一样的伪随机值)post
在实现One-Time Tokens时,须要注意一点:就是“并行会话的兼容”。若是用户在一个站点上同时打开了两个不一样的表单,CSRF保护措施不该该影响到他对任何表单的提交。考虑一下若是每次表单被装入时站点生成一个伪随机值来覆盖之前的伪随机值将会发生什么状况:用户只能成功地提交他最后打开的表单,由于全部其余的表单都含有非法的伪随机值。必须当心操做以确保CSRF保护措施不会影响选项卡式的浏览或者利用多个浏览器窗口浏览一个站点。
如下个人实现:
1).先是令牌生成函数(gen_token()):
|
1
2
3
4
5
6
7
|
<?php
function gen_token() {
//这里我是贪方便,实际上单使用Rand()得出的随机数做为令牌,也是不安全的。
//这个能够参考我写的Findbugs笔记中的《Random object created and used only once》
$
token = md5(uniqid(rand(), true));
return $token;
}
|
2).而后是Session令牌生成函数(gen_stoken()):
|
1
2
3
4
5
6
7
8
9
10
11
12
|
<?php
function gen_stoken() {
$pToken = "";
if($_SESSION[STOKEN_NAME] == $pToken){
//没有值,赋新值
$_SESSION[STOKEN_NAME] = gen_token();
}
else{
//继续使用旧的值
}
}
?>
|
3).WEB表单生成隐藏输入域的函数:
|
1
2
3
4
5
6
7
|
<?php
fu
nction gen_input() {
gen_stoken();
echo “<input type=\”hidden\” name=\”" . FTOKEN_NAME . “\”
value=\”" . $_SESSION[STOKEN_NAME] . “\”> “;
}
?>
|
4).WEB表单结构:
|
1
2
3
4
5
6
7
8
9
10
|
<?php
session_start();
i
nclude(”functions.php”);
?>
<form method=”POST” action=”transfer.php”>
<input type=”text” name=”toBankId”>
<input type=”text” name=”money”>
<? gen_input(); ?>
<input type=”submit” name=”submit” value=”Submit”>
</FORM>
|
5).服务端核对令牌:
这个很简单,这里就再也不啰嗦了。
上面这个其实不彻底符合“并行会话的兼容”的规则,你们能够在此基础上修改。
原文:
http://www.moonsec.com/post-627.html
- 1. CSRF的防护实例(PHP)
- 2. php CSRF攻击与防护
- 3. CSRF的防护
- 4. Django——CSRF防护
- 5. csrf攻击与csrf防护
- 6. csrf攻击防护
- 7. django---10---csrf防护
- 8. nginx实现CSRF和XSS防护
- 9. CSRF攻击与防护
- 10. CSRF理解与防护
- 更多相关文章...
- • XML DOM 实例 - XML DOM 教程
- • XML 实例 - XML 教程
- • 适用于PHP初学者的学习线路和建议
- • PHP开发工具
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. eclipse设置粘贴字符串自动转义
- 2. android客户端学习-启动模拟器异常Emulator: failed to initialize HAX: Invalid argument
- 3. android.view.InflateException: class com.jpardogo.listbuddies.lib.views.ListBuddiesLayout问题
- 4. MYSQL8.0数据库恢复 MYSQL8.0ibd数据恢复 MYSQL8.0恢复数据库
- 5. 你本是一个肉体,是什么驱使你前行【1】
- 6. 2018.04.30
- 7. 2018.04.30
- 8. 你本是一个肉体,是什么驱使你前行【3】
- 9. 你本是一个肉体,是什么驱使你前行【2】
- 10. 【资讯】LocalBitcoins达到每周交易比特币的7年低点
- 1. CSRF的防护实例(PHP)
- 2. php CSRF攻击与防护
- 3. CSRF的防护
- 4. Django——CSRF防护
- 5. csrf攻击与csrf防护
- 6. csrf攻击防护
- 7. django---10---csrf防护
- 8. nginx实现CSRF和XSS防护
- 9. CSRF攻击与防护
- 10. CSRF理解与防护