PHP의 CSRF (Cross-Site Request Properery) 공격을 방지하려면 어떻게해야합니까?

PHP의 CSRF 공격을 방지하려면 Anti-CSRF 토큰을 구현하십시오. 1) random_bytes () 또는 bin2hex (random_bytes (32))를 사용하여 보안 토큰을 생성하고 저장하고 $ _session에 저장하고 숨겨진 입력으로 양식에 포함시킵니다. 2) 포스트 토큰과 세션이 저장된 토큰을 엄격하게 비교하여 제출시 토큰을 검증합니다. 403 오류로 불일치 요청을 거부합니다. 3) 메타 태그에서 검색되는 헤더 또는 본문에 토큰을 포함시켜 AJAX/API 요청을 보호하십시오. 4) XSS 누출을 방지하기 위해 토큰을 출력 할 때 htmlspecialchars ()를 사용하십시오. 5) 로그인과 같은 중요한 조치 후 토큰을 재생합니다. 6) 세션 쿠키에 대한 samesite = strict/lax를 설정하고 상태 변경을 피하십시오. 7) 민감한 조치에 대해 사용자를 재 승인하십시오. 이 단계는 보안 무결성을 유지하면서 모든 요청 유형에서 포괄적 인 CSRF 보호를 보장합니다.

PHP의 CSRF 공격을 방지하려면 토큰을 사용하여 확실한 항 -CSRF 전략을 구현해야합니다. 아이디어는 간단합니다. 모든 상태 변화 요청 (예 : 양식 제출)에는 합법적 인 사용자 만 알고있는 독특하고 예측할 수없는 토큰이 포함되어야합니다. 이 토큰이 없으면 서버가 요청을 처리해서는 안됩니다.

실제로 실제로 잘하는 방법은 다음과 같습니다.

안티 -CSRF 토큰을 생성하고 저장하십시오

설정 제출 또는 구매와 같은 작업을 수행하는 양식을 표시 할 때마다 안전한 토큰을 생성하고 세션에서와 같이 서버 측에서 안전한 어딘가에 보관하십시오.

• random_bytes() 또는 bin2hex(random_bytes(32)) 사용하여 강한 토큰을 만듭니다.
• 양식이 제출 될 때 나중에 비교할 수 있도록 $_SESSION 에 저장하십시오.

예를 들어:

 if (빈 ($ _ 세션 [ 'csrf_token'])) {
    $ _session [ 'csrf_token'] = bin2Hex (random_bytes (50));
}

그런 다음 귀하의 형태로 :

 <입력 유형 = "hidden"name = "csrf_token"value = "<? = htmlspecialchars ($ _ session [ &#39;csrf_token&#39;])?">

이런 식으로, 각 양식 제출에는 공격자가 추측하거나 재현 할 수없는 토큰이 포함됩니다.

양식 제출에서 토큰을 확인하십시오

양식이 제출되면 게시물 데이터의 토큰이 세션에 저장된 내용과 일치하는지 확인하십시오.

• 항상 토큰의 존재를 확인하십시오.
• 유형 문제를 피하기 위해 엄격하게 ( === ) 비교하십시오.
• 일치하지 않으면 403 오류 또는 이와 유사한 요청을 거부하십시오.

예제 코드 :

 if (! isset ($ _ post [ 'csrf_token']) || $ _post [ 'csrf_token']! == $ _session [ 'csrf_token']) {
    http_response_code (403);
    다이 ( '유효하지 않은 CSRF 토큰');
}

작지만 중요한 세부 사항 : XSS가 토큰이 누출되는 것을 방지하기 위해 토큰을 HTML로 출력 할 때 항상 htmlspecialchars() 사용하십시오.

또한 로그인 또는 비밀번호 변경과 같은 중요한 조치 후에 토큰을 회전 시키거나 재생하는 것을 잊지 마십시오.

Ajax 요청과 API를 잊지 마십시오

귀하의 사이트에서 JavaScript를 사용하여 양식을 제출하거나 API 호출을하는 경우 해당 요청도 CSRF 보호가 필요합니다.

• AJAX 요청의 헤더 또는 본문에 CSRF 토큰을 포함하십시오.
• 토큰을 메타 태그 또는 인라인 스크립트에 저장하고 호출 할 때 거기에서 읽을 수 있습니다.

예를 들어, HTML 헤드에서 메타 태그를 설정하십시오.

 <meta name = "csrf-token"content = "<? = htmlspecialchars ($ _ session [ &#39;csrf_token&#39;])?>">

그런 다음 JS에서 :

 페치 ( '/update-profile', {
    방법 : 'post',
    헤더 : {
        'x-csrf-token': document.querySelector ( 'meta [name = "csrf-token"]'). 내용
    },
    Body : New UrlSearchparams ({이름 : 'John Doe'})
});

백엔드에서 X-CSRF-Token 헤더에서 토큰을 찾아 일반 양식과 마찬가지로 검증하십시오.

주목할 사항 : PHP 백엔드와 대화하는 단일 페이지 앱 (SPA) 또는 모바일 앱을 구축하는 경우 동일한 사이트 쿠키 및 CSRF 토큰을 사용하여 더 나은 보호를 위해 고려하십시오.

보너스 팁 : Samesite 쿠키 및 HTTP 전용 양식

토큰이 있더라도 추가 단계가 있습니다.

• 세션 쿠키에서 SameSite=Strict 또는 Lax 설정하여 크로스 오리핀 요청을 줄입니다.
• 양식이 필요한 경우 게시물 요청 만 수락하십시오. GET 기반 상태 변경을 허용하지 마십시오.
• 민감한 작업 (계정 삭제와 같은)의 경우, 다시 인증은 다른 레이어를 추가하는 데 도움이됩니다.

이것들은 CSRF 토큰을 대체하는 것이 아니라 그들과 잘 어울립니다.

그것은 기본적으로 그것입니다. PHP의 CSRF 보호는 좋은 토큰을 생성하여 올바르게 검증하고 모든 관련 요청에 포함시켜야합니다. 지나치게 복잡하지는 않지만 한 단계를 건너 뛰면 엉망이됩니다.

위 내용은 PHP의 CSRF (Cross-Site Request Properery) 공격을 방지하려면 어떻게해야합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!