PHP如何处理跨站请求伪造(CSRF)_PHP CSRF攻击防御策略

答案：PHP通过生成并验证CSRF令牌、设置SameSite Cookie属性及双重提交Cookie等机制防御CSRF攻击，确保请求合法性。

PHP处理跨站请求伪造(CSRF)的核心在于验证请求的合法性，确保请求确实来自用户本人，而不是恶意站点冒充。主要策略是利用令牌（Token）进行校验。

解决方案

1. 生成CSRF令牌： 在用户会话中存储一个随机生成的唯一令牌。这个令牌应该是不可预测的，并且对于每个会话都是唯一的。

   session_start();
   if (empty($_SESSION['csrf_token'])) {
       $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
   }
   $csrf_token = $_SESSION['csrf_token'];

   登录后复制

2. 在表单中包含令牌： 将CSRF令牌作为隐藏字段包含在所有需要保护的表单中。

   立即学习“PHP免费学习笔记（深入）”；

   <input type="hidden" name="csrf_token" value="<?php echo $csrf_token; ?>">

   登录后复制

3. 验证令牌： 在处理表单提交时，验证提交的令牌是否与会话中存储的令牌匹配。

   session_start();
   if ($_SERVER["REQUEST_METHOD"] == "POST") {
       if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
           // CSRF攻击 detected
           die("CSRF token validation failed.");
       } else {
           // Process the form data
           // ...
           // 销毁令牌，防止重复提交
           unset($_SESSION['csrf_token']);
       }
   }

   登录后复制

4. 使用

   SameSite

   登录后复制
   Cookie属性： 设置Cookie的

   SameSite

   登录后复制
   属性为

   Strict

   登录后复制
   或

   Lax

   登录后复制
   ，可以防止浏览器在跨站请求中发送Cookie，从而降低CSRF攻击的风险。但要注意兼容性，老版本浏览器可能不支持。

   setcookie('cookie_name', 'cookie_value', ['samesite' => 'Strict']); // PHP 7.3+
   //或者使用header
   header('Set-Cookie: cookie_name=cookie_value; SameSite=Strict', false);

   登录后复制

5. 使用双重提交Cookie（Double Submit Cookie）： 将CSRF令牌同时存储在Cookie和表单中。在验证时，比较Cookie中的令牌和表单中的令牌是否匹配。 虽然不如同步器令牌模式安全，但在某些场景下可以作为备选方案。

   // 设置Cookie
   $csrf_token = bin2hex(random_bytes(32));
   setcookie('csrf_token', $csrf_token, ['samesite' => 'Lax']);
   
   // 在表单中包含令牌
   <input type="hidden" name="csrf_token" value="<?php echo $csrf_token; ?>">
   
   // 验证
   if ($_COOKIE['csrf_token'] !== $_POST['csrf_token']) {
       die("CSRF validation failed.");
   }

   登录后复制

PHP框架如何简化CSRF防御？

大多数现代PHP框架（如Laravel、Symfony、CodeIgniter）都内置了CSRF保护机制。它们通常提供中间件或助手函数，可以自动生成和验证CSRF令牌，简化开发过程。 例如，在Laravel中，只需在表单中包含

@csrf

造好物

一站式AI造物设计平台

70

查看详情

为什么仅仅验证

Referer

虽然

Referer

Referer

Referer

除了表单，AJAX请求如何防御CSRF？

对于AJAX请求，可以将CSRF令牌添加到请求头中。服务器端在处理AJAX请求时，需要从请求头中获取并验证CSRF令牌。

// JavaScript (Example using fetch API)
fetch('/your-api-endpoint', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/json',
    'X-CSRF-TOKEN': document.querySelector('meta[name="csrf-token"]').getAttribute('content') // 从meta标签获取token，Laravel常用方式
  },
  body: JSON.stringify({ data: 'your data' })
})
.then(response => {
  // ...
});

// PHP (Server-side)
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $csrf_token = $_SERVER['HTTP_X_CSRF_TOKEN'] ?? '';  // 注意大小写
    if ($csrf_token !== $_SESSION['csrf_token']) {
        die("CSRF validation failed.");
    }
    // ...
}

CSRF和XSS有什么区别？如何同时防御？

CSRF（Cross-Site Request Forgery）是跨站请求伪造，攻击者利用用户的身份，让用户在不知情的情况下执行恶意操作。XSS（Cross-Site Scripting）是跨站脚本攻击，攻击者将恶意脚本注入到受信任的网站中，当用户浏览该网站时，恶意脚本会在用户的浏览器中执行。

防御CSRF的主要方法是验证请求的来源，确保请求来自用户本人。防御XSS的主要方法是输入验证和输出编码，防止恶意脚本被注入到网站中。 通常需要同时采取措施来防御这两种攻击。比如使用CSP（Content Security Policy）可以有效缓解XSS攻击，配合CSRF Token机制，可以构建更安全的Web应用。

CSRF令牌应该存储在哪里？Session还是Cookie？

通常将CSRF令牌存储在Session中，因为Session数据是存储在服务器端的，相对更安全。虽然也可以将CSRF令牌存储在Cookie中，但需要注意设置Cookie的

HttpOnly

SameSite

以上就是PHP如何处理跨站请求伪造(CSRF)_PHP CSRF攻击防御策略的详细内容，更多请关注php中文网其它相关文章！