我一直在使用 PHP 进行自己的 CSRF 保护。根据我的阅读,我决定使用 cookie 来实现我的保护,但我对我的方法是否能抵御 CSRF 攻击感到有点困惑。
所以我的方法如下:
用户发送登录请求
服务器检查是否设置了 CSRF token ,如果没有,则创建一个并将其存储在 session 中,并使用该 token 创建一个 Cookie
通过检查它是否在 POST 请求中来验证 CSRF token ,如果不在 $_COOKIE 中则检查 token
如果 token 无效则发回消息...
我决定使用 cookie 来存储 token ,因为这适用于 Ajax 请求,而且我不必在每次使用 Ajax POST 时都包含它。
令我感到困惑的是,攻击者不能只发出请求吗? POST 或 GET,因为 cookie 在那里,它只是随请求一起发送,因此是一个有效的请求,因为 token 每次都随浏览器一起发送?
最佳答案
cookie 不应包含 CSRF token 。只有客户端 session 存储应该包含它。你不应该反对 cookie 中的 CSRF。
如果您要检查与 cookie 一起发送的 CSRF,您将绕过 CSRF 背后的想法。
一个简单的攻击场景是外国网站上的隐藏表单:
<form method="method" action="http://site-to-gain-access-to.tld/someactionurl">
<!-- some form data -->
</form>
并且这个隐藏的表单将在没有用户干预的情况下使用 javascript 执行。如果用户登录到站点 site-to-gain-access-to.tld
并且没有激活 CSRF 保护,那么就像用户自己触发了该操作一样,因为用户的 session cookie 将随该请求一起发送。因此服务器会假定是用户触发了该请求。
如果您现在将 CSRF token 放入您的 cookie 中,您将遇到与 session 相同的问题。
CSRF token 必须始终仅作为请求正文或 url 的一部分发送,而不是作为 cookie。
所以突出显示的部分:
Server checks if a CSRF token is set, if not create one and store it in their Session and create a Cookie with the token as well
Validate the CSRF token through checking if it is in the POST request, if not then check for the token in $_COOKIE
会破坏 CSRF 保护。 CSRF 是以明文形式存储在 cookie 中还是使用服务器端加密都没有关系。
关于php - 我的 CSRF 保护方法安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46449381/