masyarakat Belajar Perpustakaan Alatan Masa lapang
cari
Melayu
Rumah > pembangunan bahagian belakang > tutorial php > Mengapakah token CSRF saya kadangkala kosong apabila digunakan dalam AJAX dan borang standard, dan bagaimana saya boleh membetulkannya dalam PHP?

Mengapakah token CSRF saya kadangkala kosong apabila digunakan dalam AJAX dan borang standard, dan bagaimana saya boleh membetulkannya dalam PHP?

Linda Hamilton
Lepaskan: 2024-12-14 20:46:13
asal
657 orang telah melayarinya

Why are my CSRF tokens sometimes empty when used in AJAX and standard forms, and how can I fix this in PHP?

Melindungi Borang dengan Pelaksanaan Token CSRF yang Betul dalam PHP

Soalan:

< ;p>Apabila cuba menambah CSRF token kepada dua bentuk berbeza, satu menggunakan AJAX dan satu lagi borang hubungan asas, diperhatikan bahawa nilai token dalam HTML secara sporadis kosong. Bagaimanakah isu ini boleh diselesaikan?


Jawapan:

Masalah itu mungkin berpunca daripada kaedah penjanaan token, kerana kod yang disediakan ialah terdedah kepada ramalan dan kekurangan entropi. Kaedah ini juga tidak mencukupi untuk pengesahan token sekali guna dan per-bentuk.

Menjana Token CSRF yang Kuat:

Ganti penjanaan token dengan selamat kaedah untuk PHP 7 atau PHP 5.3 :

PHP 7

session_start();
if (kosong($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));
Salin selepas log masuk
}

$ token = $_SESSION['token'];

PHP 5.3 (atau dengan ext-mcrypt)

session_start();
jika (kosong($_SESSION['token'])) {

if (function_exists('mcrypt_create_iv')) {
    $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
Salin selepas log masuk
}

$token = $_SESSION['token'];

Mengesahkan Token CSRF:

Gunakan hash_equals() untuk mengesahkan token dengan selamat:

jika (!kosong($_POST['token'])) {

if (hash_equals($_SESSION['token'], $_POST['token'])) {
     // Proceed to process the form data
} else {
     // Log this as a warning and keep an eye on these attempts
}
Salin selepas log masuk
}


Per -Sekatan Token Borang:

Untuk mengehadkan lagi token kepada borang khusus, gunakan hash_hmac():

echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
Salin selepas log masuk
?>" />


Pendekatan Hibrid dengan Integrasi Ranting:

Bagi mereka yang menggunakan templat Twig, strategi dwi yang dipermudahkan boleh dilaksanakan:

$twigEnv->addFunction(

new \Twig_SimpleFunction(
    'form_token',
    function($lock_to = null) {
        if (empty($_SESSION['token'])) {
            $_SESSION['token'] = bin2hex(random_bytes(32));
        }
        if (empty($_SESSION['token2'])) {
            $_SESSION['token2'] = random_bytes(32);
        }
        if (empty($lock_to)) {
            return $_SESSION['token'];
        }
        return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
    }
)
Salin selepas log masuk
);


Dengan fungsi ini, token am selamat boleh digunakan sebagai:



Sementara token per-form boleh dijana dengan:



Token CSRF Guna Tunggal:

Untuk keperluan token sekali guna, pertimbangkan untuk menggunakan perpustakaan khusus seperti Pustaka anti-CSRF daripada Paragon Initiative Enterprises.

Atas ialah kandungan terperinci Mengapakah token CSRF saya kadangkala kosong apabila digunakan dalam AJAX dan borang standard, dan bagaimana saya boleh membetulkannya dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Artikel sebelumnya:Bagaimanakah Saya Boleh Alih Keluar "index.php" daripada URL CodeIgniter Menggunakan Keupayaan Penulisan Semula Apache? Artikel seterusnya:Bagaimana untuk Mencegah Penyertaan Pendua dalam MySQL Apabila Memasukkan Data dalam PHP?
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Isu terkini
function_exists() tidak boleh menentukan fungsi tersuai Ujian fungsi () {return true;} jika (function_exists ('test')) {echo "test is functio...
daripada 2024-04-29 11:01:01
0
3
2190
Bagaimana untuk memaparkan versi mudah alih Google Chrome Hello cikgu, bagaimana saya boleh menukar Google Chrome kepada versi mudah alih?
daripada 2024-04-23 00:22:19
0
11
2340
Tetingkap anak mengendalikan tetingkap induk, tetapi output tidak bertindak balas. Dua ayat pertama boleh dilaksanakan, tetapi ayat terakhir tidak boleh dilaksanakan.
daripada 2024-04-19 15:37:47
0
1
1963
Tiada output dalam tetingkap induk document.onclick = function(){ window.opener.document.write('Saya adalah output tetingkap ...
daripada 2024-04-18 23:52:34
0
1
1849
Di manakah perisian kursus tentang pemetaan minda CSS? Perisian kursus
daripada 2024-04-16 10:10:18
0
0
1906
Topik-topik yang berkaitan
Lagi>
Cadangan popular
Tutorial Popular
Lagi>
Tutorial berkaitan
Cadangan popular
Kursus terkini
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan