php安全开发:添加随机字符串验证,防止伪造跨站请求

伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造跨站攻击呢?

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_idfb_dtsg

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了


随机串代码实现

咱们按照这个思路,山寨一个crumb的实现,代码如下:

    <?php    
    class Crumb {  
        CONST SALT = "your-secret-salt";                                                             
        static $ttl = 7200;                                                                                            
        static public function challenge($data) {    
            return hash_hmac(’md5’, $data, self::SALT);    
        }                                                                                                                 
        static public function issueCrumb($uid, $action = -1) {    
            $i = ceil(time() / self::$ttl);    
            return substr(self::challenge($i . $action . $uid), -12, 10);    
        }                                                                                                                 
        static public function verifyCrumb($uid, $crumb, $action = -1) {    
            $i = ceil(time() / self::$ttl);                                                                               
            if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||    
                substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)    
                return true;                                                                                        
            return false;    
        }                                                                                                               
    }  

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单
在表单中插入一个隐藏的随机串crumb

   <form method="post" action="demo.php">    
    <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">    
    <input type="text" name="content">    
    <input type="submit">    
    </form>  

处理表单 demo.php
对crumb进行检查

    <?php    
    if(Crumb::verifyCrumb($uid, $_POST[’crumb’])) {    
        //按照正常流程处理表单    
    } else {    
        //crumb校验失败,错误提示流程    
    }  

关键词: 伪造跨站 , php安全开发

上一篇: Simsimi (小黄鸡) API接口(PHP)公布,小黄鸡API接口非官方PHP版本来啦
下一篇: JS实现iframe框架延后加载

目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):