绝地反击，反败为胜：PHP 跨站请求伪造（CSRF）防范的逆袭秘诀

使用 CSRF 令牌

CSRF 令牌是一种用于验证请求是否来自合法来源的随机字符串。您可以通过在用户的会话中存储 CSRF 令牌，并在每个请求中包含该令牌来实现 CSRF 防护。当服务器收到请求时，它会将请求中的令牌与存储在会话中的令牌进行比较。如果不匹配，则服务器会拒绝该请求。

<?php
// 生成 CSRF 令牌
$csrfToken = bin2hex(random_bytes(32));

// 将 CSRF 令牌存储在用户的会话中
$_SESSION["csrfToken"] = $csrfToken;

// 将 CSRF 令牌包含在每个请求中
<form action="submit.php" method="post">
  <input type="hidden" name="csrfToken" value="<?php echo $csrfToken; ?>">
  <input type="submit" value="Submit">
</form>

验证请求来源

您可以通过验证请求的来源来防止 CSRF 攻击。您可以通过检查请求的 HTTP 来源头来实现这一点。如果请求的来源头不是您的应用程序的 URL，则您应该拒绝该请求。

<?php
// 检查请求的 HTTP 来源头
$referer = $_SERVER["HTTP_REFERER"];
if (strpos($referer, "https://example.com") !== 0) {
  // 请求不是来自您的应用程序
  header("HTTP/1.1 403 Forbidden");
  exit;
}

使用安全标头

您可以通过使用安全标头来防止 CSRF 攻击。安全标头可以告诉浏览器的行为，以帮助防止 CSRF 攻击。您可以使用以下安全标头：

• Content-Security-Policy：此标头可以限制浏览器可以加载的资源。
• X-Frame-Options：此标头可以防止您的应用程序在另一个网站中被加载。
• X-XSS-Protection：此标头可以帮助防止跨站脚本（XSS）攻击。

<?php
// 设置安全标头
header("Content-Security-Policy: default-class="lazy" data-src "self";");
header("X-Frame-Options: SAMEORIGIN");
header("X-XSS-Protection: 1; mode=block");

限制敏感操作的范围

您可以通过限制敏感操作的范围来防止 CSRF 攻击。您可以通过将敏感操作限制在经过身份验证的用户才能访问的页面来实现这一点。您还可以通过要求用户在执行敏感操作之前输入密码来实现这一点。

<?php
// 将敏感操作限制在经过身份验证的用户才能访问的页面
if (!isset($_SESSION["authenticated"])) {
  // 用户未经身份验证
  header("HTTP/1.1 403 Forbidden");
  exit;
}

// 要求用户在执行敏感操作之前输入密码
if ($_SERVER["REQUEST_METHOD"] == "POST") {
  if (!isset($_POST["password"]) || $_POST["password"] != "secret") {
    // 密码不正确
    header("HTTP/1.1 403 Forbidden");
    exit;
  }
}

结论

通过使用上述技术，您可以防止 CSRF 攻击并保护您的 PHP 应用程序。