csrf 令牌类

【问题标题】:csrf Token classcsrf 令牌类
【发布时间】:2014-04-29 02:33:03
【问题描述】:

谁能解释我如何保护个人资料页面不被错误的用户编辑 URL 以查看其他用户的个人资料页面。我正在使用令牌类生成随机数以防止跨站点请求伪造。由于某种原因,它没有任何建议或其他方式来做到这一点

我还收到以下错误:未定义索引:第 12 行 PhpProject22_CSRF\profile.php 中的令牌

<?php 
session_start();
require_once 'Classes/Token.php';
$tk = new Token();

if(isset($_POST['username'],$_POST['product'],$_POST['token'])){
$username = $_POST['username'];
$product = $_POST['product'];
if(!empty($product) && !empty($username)){
    if(Token::check($_POST['token'])){
        echo $_POST['token'].'<br>';
        $tk->get('username');
        $_SESSION['user'] = $tk->name();
        echo 'Process Order';
    }
}
}
?>

<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>CSRF Protection</title>
</head>
<body>
    <form action="" method="POST">
        <div class="product">
            <strong>Profile</strong>
            <div class='field'>
                Username: <input type='text' name='username'>
            </div>
            <input type='submit' value='Order'>
            <input type='hidden' name='product' value='1'>
            <input type='hidden' name='token' value='<?php echo Token::generate();?>'>
        </div>
    </form>
    <?php
    if(isset($_POST['username'])){
    ?>
    <p>Hello <a href = 'profile.php?user=<?php echo $tk->name();?>'><?php echo $tk-  >name();?></a>!</p>
    <?php
    }
    ?>
</body>
</html>

<?php
class Token{
private $_data;

public static function generate(){
    return $_SESSION['token'] = base64_encode(openssl_random_pseudo_bytes(32));
}

public static function check($token){
    if(isset($_SESSION['token']) && $token === $_SESSION['token']){      
        unset($_SESSION['token']);
        return true;
    }
    return false;
}

public function get($item){
    if(isset($_POST[$item])){
        $this->_data = $_POST[$item];
    }
}

public function name(){
return $this->_data;
}
}
?>

<?php
require_once 'Classes/Token.php';
session_start();
?>
<form action="" method="POST">
<input type='hidden' name='token' value='<?php echo Token::generate();?>'>
</form>

<?php
echo 'Hello '.$_SESSION['user'].'!<br>';
if(isset($_GET['user'])){
if(Token::check($_POST['token'])){
    echo $_GET['user'];
}
}
?>

【问题讨论】:

  • session_start() 放入您的令牌类函数中。
  • 您还应该在每次提交帖子时检查 CSRF,它会指示非法用户。此外,散列 CSRF 令牌并将其绑定到会话 id(假设已正确生成)是一个更好的主意。绑定是指hash("sha512", (session_id() + openssl_random_pseudo_bytes(32))); 运作良好。
  • 为什么我应该把 session_start() 放在已经在 index.php @echolocation 中定义的令牌类中
  • 因为函数是一个新的实例,session_start()没有声明全局变量,所以每个函数都必须重新声明一次。
  • 可能是因为您没有检查是否设置了$_POST['token']

标签: php html csrf


【解决方案1】:

查看帖子时,您需要执行以下操作:

if($_POST){
    if(isset($_POST['token']) && Token::check($_POST['token']){
        code
    }else{
        error
    }
}

如果有人伪造帖子,并且不包含令牌,您将收到未定义索引错误,因为 $_POST['token'] 不存在并且您正在引用它。

【讨论】:

  • 谢谢它的工作,但我可以在没有提交按钮的情况下做到这一点,只使用
  • 嗯,表单还是需要提交的,我想你可以通过javascript来完成?
猜你喜欢
  • 2014-05-17
  • 2011-09-24
  • 2016-01-31
  • 2014-07-07
  • 1970-01-01
  • 1970-01-01
  • 2021-07-14
  • 2017-01-25
  • 2015-03-24
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode