预见风险，先发制人：PHP 跨站请求伪造（CSRF）防范的先锋策略

常见的CSRF攻击类型

1. 表单提交CSRF攻击

这种攻击类型是通过欺骗受害者点击伪造的链接或按钮，导致受害者的浏览器向攻击者的网站发送POST请求，从而执行攻击者预期的操作。

2. GET请求CSRF攻击

GET请求CSRF攻击通过欺骗受害者点击伪造的链接或图像，导致受害者的浏览器向攻击者的网站发送GET请求，从而执行攻击者预期的操作。

3. JSON请求CSRF攻击

JSON请求CSRF攻击通过欺骗受害者点击伪造的链接或按钮，导致受害者的浏览器向攻击者的网站发送jsON请求，从而执行攻击者预期的操作。

4. AJAX请求CSRF攻击

ajax请求CSRF攻击通过欺骗受害者点击伪造的链接或按钮，导致受害者的浏览器向攻击者的网站发送AJAX请求，从而执行攻击者预期的操作。

防范CSRF攻击的先锋策略

1. 使用CSRF令牌

CSRF令牌是一种随机字符串，它在服务器端生成并存储在客户端的Cookie中。在发送请求时，客户端会将CSRF令牌作为Http请求头的一部分发送给服务器。服务器会检查CSRF令牌是否有效，如果有效，则执行请求的操作；如果无效，则拒绝请求。

代码示例：

<?PHP

// 生成CSRF令牌
$csrfToken = bin2hex(random_bytes(32));

// 在Cookie中存储CSRF令牌
setcookie("csrf_token", $csrfToken, time() + 3600, "/");

// 检查CSRF令牌是否有效
if ($_SERVER["REQUEST_METHOD"] === "POST") {
  if (!isset($_POST["csrf_token"]) || $_POST["csrf_token"] !== $_COOKIE["csrf_token"]) {
    die("Invalid CSRF token");
  }
}

// 执行请求的操作
...

?>

2. 使用SameSite属性

SameSite属性可以防止浏览器在跨站请求中发送Cookie。它可以设置为以下三个值之一：

• Lax：浏览器会在跨站请求中发送Cookie，但仅限于同源请求。
• Strict：浏览器不会在跨站请求中发送Cookie。
• None：浏览器会在跨站请求中发送Cookie，无论请求是否同源。

代码示例：

<fORM action="submit.php" method="post">
  <input type="hidden" name="csrf_token" value="<?php echo $csrfToken; ?>">
  <input type="submit" value="Submit">
</form>

<?php

// 检查SameSite属性是否有效
if ($_SERVER["REQUEST_METHOD"] === "POST") {
  if (!isset($_POST["csrf_token"]) || $_POST["csrf_token"] !== $_COOKIE["csrf_token"]) {
    die("Invalid CSRF token");
  }
}

// 执行请求的操作
...

?>

3. 使用Content-Security-Policy (CSP)头

CSP头可以防止浏览器加载来自第三方网站的资源。它可以设置为允许或阻止某些类型的资源，例如脚本、样式表和图像。

代码示例：

<meta http-equiv="Content-Security-Policy" content="default-src "self"; script-src "self" "https://example.com"; style-src "self" "https://example.com"; img-src "self" "https://example.com";">

4. 使用跨域资源共享 (CORS)头

CORS头允许浏览器向其他域发送跨域请求。它可以设置为允许或拒绝某些类型的请求，例如GET、POST、PUT和DELETE。

代码示例：

<meta http-equiv="Access-Control-Allow-Origin" content="https://example.com">
<meta http-equiv="Access-Control-Allow-Methods" content="GET, POST, PUT, DELETE">