В современном взаимосвязанном мире веб-безопасность имеет первостепенное значение. Одной из распространенных угроз, с которыми сталкиваются программисты, являются атаки межсайтовой подделки запросов (CSRF). Эти атаки используют доверие между браузером пользователя и уязвимым веб-сайтом, что приводит к выполнению несанкционированных действий от имени пользователя. В этой статье мы рассмотрим несколько проверенных методов защиты вашего PHP-приложения от атак CSRF. Итак, давайте углубимся и защитим ваш код от этих вредоносных эксплойтов!
- Шаблон токена синхронизатора (STP):
Шаблон токена синхронизатора — это широко распространенный метод предотвращения атак CSRF. Он включает в себя создание и проверку уникального токена для каждого сеанса пользователя. Вот пример кода, демонстрирующий работу STP:
// Generating a CSRF token
$csrfToken = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $csrfToken;
// Adding the token to forms
echo '<input type="hidden" name="csrf_token" value="' . $csrfToken . '">';
// Validating the token on form submission
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
// Token validation failed, handle the error
}- Файлы cookie SameSite.
Установка атрибута SameSite для файлов cookie может эффективно смягчить атаки CSRF. Ограничивая отправку файлов cookie только с запросами на один и тот же сайт, браузер предотвращает передачу файлов cookie сеанса в запросах из разных источников. Вот пример установки атрибута SameSite в PHP:
session_set_cookie_params(['samesite' => 'Strict']);- Файлы cookie двойной отправки:
В этом методе используются два файла cookie: один в качестве файла cookie сеанса, а другой — в качестве токена CSRF. Токен CSRF устанавливается как файл cookie и также включается в полезные данные запроса. Сервер сравнивает токен в файле cookie с токеном в полезных данных запроса для проверки запроса. Вот фрагмент кода, иллюстрирующий эту концепцию:
// Setting the CSRF token cookie
setcookie('csrf_token', $csrfToken, time() + 3600, '/', '', false, true);
// Including the token in the request payload
echo '<input type="hidden" name="csrf_token" value="' . $csrfToken . '">';
// Validating the token on form submission
if ($_POST['csrf_token'] !== $_COOKIE['csrf_token']) {
// Token validation failed, handle the error
}- Проверка заголовка Referrer.
Хотя проверка заголовка Referrer не является надежной, она может обеспечить дополнительный уровень защиты от атак CSRF. Убедившись, что запросы исходят из того же домена, что и приложение, вы можете отклонять запросы из неавторизованных источников. Вот пример проверки заголовка Referrer в PHP:
$referrer = $_SERVER['HTTP_REFERER'];
$expectedReferrer = 'https://yourdomain.com/';
if ($referrer !== $expectedReferrer) {
// Referrer validation failed, handle the error
}Применяя эти проверенные на практике методы, вы можете значительно снизить риск атак CSRF в своем PHP-приложении. Помните, что веб-безопасность — это непрерывный процесс, и крайне важно быть в курсе последних передовых практик. Защита данных ваших пользователей и поддержание их доверия всегда должны быть главным приоритетом. Будьте бдительны, продолжайте учиться и следите за безопасностью своего кода!