CSRF在PHP中的防御机制有哪些

在 PHP 中，防御 CSRF（跨站请求伪造）攻击的主要方法包括以下几种：

1. 使用 CSRF Token：为每个表单生成一个随机的 CSRF Token，并将其存储在用户的会话中。当用户提交表单时，需要同时提交这个 Token，然后在服务器端进行验证。如果 Token 不匹配或者不存在，则拒绝请求。

// 生成 CSRF Token session_start(); $csrf_token = bin2hex(random_bytes(32)); $_SESSION['csrf_token'] = $csrf_token; // 在表单中添加隐藏字段 echo '<form action="submit.php" method="post">'; echo<input type="hidden" name="csrf_token" value="' . $csrf_token . '">'; // 其他表单字段... echo '</form>'; // 验证 CSRF Token if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) { // 处理表单数据 } else { // 阻止请求 echo "Invalid CSRF Token!"; } 

2. 验证 Referer 头部：检查 HTTP 请求的 Referer 头部，确保请求是从可信任的源发起的。这种方法有一定的局限性，因为 Referer 头部可以被伪造或遗漏。

$allowed_origins = ['https://example.com', 'https://subdomain.example.com']; $referer = isset($_SERVER['HTTP_REFERER']) ? parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST) : ''; if (in_array($referer, $allowed_origins)) { // 处理请求 } else { // 阻止请求 echo "Invalid referer!"; } 

3. 使用 SameSite Cookies 属性：通过设置 Cookie 的 SameSite 属性为 Strict 或 Lax，可以防止浏览器在跨站点请求时发送 Cookie。这样，当用户访问第三方网站时，攻击者无法利用用户的 Cookie 发起 CSRF 攻击。

setcookie('name', 'value', [ 'expires' => time() + 60 * 60 * 24 * 30, 'path' => '/', 'domain' => 'example.com', 'secure' => true, 'httponly' => true, 'samesite' => 'Strict', // 或 'Lax' ]); 

4. 用户交互确认：对于一些敏感操作，如转账、修改密码或删除账户等，可以通过增加用户交互步骤（如确认弹窗、输入验证码或者二次认证来进行操作确认）降低 CSRF 攻击的风险。

结合以上方法，可以有效地防御 CSRF 攻击。但请注意，没有绝对安全的系统，始终保持警惕和更新防御措施是非常重要的。