什么是CSRF
CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。网上有很多相关介绍了,具体攻击方式就不细说了,下面来说说Laravel和Yii2是如何来做CSRF攻击防范的。
Laravel CSRF防范
本次对Laravel CSRF防范源码的分析是基于5.4.36版本的,其他版本代码可能有所不同,但原理是相似的。
Laravel通过中间件app/Http/Middleware/VerifyCsrfToken.php来做CSRF防范,来看下源码。
可以发现它是直接继承了Illuminate\Foundation\Http\Middleware\VerifyCsrfToken,只是提供了配置不进行CSRF验证的路由的功能(这里是因为某些场景下是不需要进行验证的,例如微信支付的回调)。
再来看下Illuminate\Foundation\Http\Middleware\VerifyCsrfToken主要源码。
/**
* Handle an incoming request.
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*
* @throws \Illuminate\Session\TokenMismatchException
*/
public function handle($request, Closure $next)
{
if (
$this->isReading($request) ||
$this->runningUnitTests() ||
$this->inExceptArray($request) ||
$this->tokensMatch($request)
) {
return $this->addCookieToResponse($request, $next($request));
}
throw new TokenMismatchException;
}这里handle是所有路由经过都会执行的方法。可以看到中间件先判断是否是读请求,例如'HEAD', 'GET', 'OPTIONS',又或者是处于单元测试,又或者是不需要进行验证的路由,又或者token验证通过,那就会把这个token设置到cookie里去(可以使用 cookie 值来设置 X-XSRF-TOKEN 请求头,而一些 JavaScript 框架和库(如 Angular 和 Axios)会自动将这个值添加到 X-XSRF-TOKEN 头中)。
我们再来看下是怎么验证token的。
/**
* Determine if the session and input CSRF tokens match.
*
* @param \Illuminate\Http\Request $request
* @return bool
*/
protected function tokensMatch($request)
{
$token = $this->getTokenFromRequest($request);
return is_string($request->session()->token()) &&
is_string($token) &&
hash_equals($request->session()->token(), $token);
}
/**
* Get the CSRF token from the request.
*
* @param \Illuminate\Http\Request $request
* @return string
*/
protected function getTokenFromRequest($request)
{
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
$token = $this->encrypter->decrypt($header);
}
return $token;
}这里会从输入参数或者header的X-CSRF-TOKEN里去取token,取不到则取header的X-XSRF-TOKEN,X-CSRF-TOKEN是Laravel用到的,X-XSRF-TOKEN则是上面说的可能是框架自己去Cookie取,然后进行设置的。这里之所以需要decrypt,是因为Laravel的Cookie是加密的。
取到参数里的token后就和session里的值进行比较了,这里用到了hash_equals是为了防止时序攻击。在 PHP 中比较字符串相等时如果使用双等 == ,两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就可以按位破解。而使用 hash_equals 比较两个字符串,无论字符串是否相等,函数的时间消耗是恒定的,这样可以有效的防止时序攻击。
上面就是Laravel进行CSRF防范的方案了,大家读到这里不知道有没有发现一个问题,就是我们只看到了比较token,但是好像没看到在哪里设置token。
从上面可以知道token是存在session里的,那我们去看下vendor/laravel/framework/src/Illuminate/Session/Store.php源码。
/**
* Start the session, reading the data from a handler.
*
* @return bool
*/
public function start()
{
$this->loadSession();
if (! $this->has('_token')) {
$this->regenerateToken();
}
return $this->started = true;
}可以看到Laravel在启动session的时候就会设置token了,并且一直用这同一个session,并不需要验证完一次就换一次。
下面再来看下Yii2是如何处理的
Yii2 CSRF防范
Yii2基于版本2.0.18进行分析。
生成token通过Yii::$app->request->getCsrfToken()生成,我们去看下vendor/yiisoft/yii2/web/Request.php源码。
/**
* Returns the token used to perform CSRF validation.
*
* This token is generated in a way to prevent [BREACH attacks](http://breachattack.com/). It may be passed
* along via a hidden field of an HTML form or an HTTP header value to support CSRF validation.
* @param bool $regenerate whether to regenerate CSRF token. When this parameter is true, each time
* this method is called, a new CSRF token will be generated and persisted (in session or cookie).
* @return string the token used to perform CSRF validation.
*/
public function getCsrfToken($regenerate = false)
{
if ($this->_csrfToken === null || $regenerate) {
$token = $this->loadCsrfToken();
if ($regenerate || empty($token)) {
$token = $this->generateCsrfToken();
}
$this->_csrfToken = Yii::$app->security->maskToken($token);
}
return $this->_csrfToken;
}
/**
* Loads the CSRF token from cookie or session.
* @return string the CSRF token loaded from cookie or session. Null is returned if the cookie or session
* does not have CSRF token.
*/
protected function loadCsrfToken()
{
if ($this->enableCsrfCookie) {
return $this->getCookies()->getValue($this->csrfParam);
}
return Yii::$app->getSession()->get($this->csrfParam);
}
/**
* Generates an unmasked random token used to perform CSRF validation.
* @return string the random token for CSRF validation.
*/
protected function generateCsrfToken()
{
$token = Yii::$app->getSecurity()->generateRandomString();
if ($this->enableCsrfCookie) {
$cookie = $this->createCsrfCookie($token);
Yii::$app->getResponse()->getCookies()->add($cookie);
} else {
Yii::$app->getSession()->set($this->csrfParam, $token);
}
return $token;
}这里判断请求里的token为空,或者需要重新生成,则去Cookie和Session取,取到为空或者需要更新,则重新生成,并存到Cookie或者Session里去,并加密后返回。这样第一次取的时候就会新生成一个token,后面的请求则都是通过Cookie或者Session取。
下面来看下是怎么验证的
/**
* Performs the CSRF validation.
*
* This method will validate the user-provided CSRF token by comparing it with the one stored in cookie or session.
* This method is mainly called in [[Controller::beforeAction()]].
*
* Note that the method will NOT perform CSRF validation if [[enableCsrfValidation]] is false or the HTTP method
* is among GET, HEAD or OPTIONS.
*
* @param string $clientSuppliedToken the user-provided CSRF token to be validated. If null, the token will be retrieved from
* the [[csrfParam]] POST field or HTTP header.
* This parameter is available since version 2.0.4.
* @return bool whether CSRF token is valid. If [[enableCsrfValidation]] is false, this method will return true.
*/
public function validateCsrfToken($clientSuppliedToken = null)
{
$method = $this->getMethod();
// only validate CSRF token on non-"safe" methods https://tools.ietf.org/html/rfc2616#section-9.1.1
if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
return true;
}
$trueToken = $this->getCsrfToken();
if ($clientSuppliedToken !== null) {
return $this->validateCsrfTokenInternal($clientSuppliedToken, $trueToken);
}
return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
|| $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
}
/**
* Validates CSRF token.
*
* @param string $clientSuppliedToken The masked client-supplied token.
* @param string $trueToken The masked true token.
* @return bool
*/
private function validateCsrfTokenInternal($clientSuppliedToken, $trueToken)
{
if (!is_string($clientSuppliedToken)) {
return false;
}
$security = Yii::$app->security;
return $security->compareString($security->unmaskToken($clientSuppliedToken), $security->unmaskToken($trueToken));
}也是先判断是否在需要验证的请求里,是的话,如果有提供token,直接拿来验证,否则就去请求参数或者header里取,并进行比较。
其他方案
可以看到Laravel和Yii2都是要基于Session或者Cookie来进行token存储的,下面来介绍一直不需要存储token的方案。
方案一 使用PHP强加密函数
生成token
//PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改变。 所以,使用此常量生成结果的长度将在未来有变化。 因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。
const PASSWORD='csrf_password_0t1XkA8pw9dMXTpOq';
$uid=1;
$hash = password_hash(PASSWORD.$uid, PASSWORD_DEFAULT);
//生成hash类似 $2y$10$cWojK6D9530PXvx.tG4BuOX4.i1WVZf2D7d.bE3B5x4F1/j2e0XeG
//生成token传给前端做csrf防范的token
$token =urlencode(base64_encode($hash));
验证token
//验token,true为通过
return password_verify(PASSWORD.$uid, base64_decode(urldecode($token)));方案二 使用Md5函数
上面的方案,保密性好,但是加解密很耗性能,实际上可以用md5来进行处理,这里方案稍微有点不同,md5需要手动加盐。
生成token
//把盐连接到哈希值后面也一起给到前端
$salt = str_random('12');
$token = md5(self::MD5_PASSWORD . $salt . $uid) . '.' . $salt;
$token = urlencode(base64_encode($token));验证token
$token = base64_decode(urldecode($token));
$token_array = explode('.', $token);
return count($token_array) && $token_array[0]==md5(self::MD5_PASSWORD . $token_array[1] . $uid));Enjoy it !
如果觉得文章对你有用,可以赞助我喝杯咖啡~
版权声明
转载请注明作者和文章出处
作者: X先生
https://segmentfault.com/a/1190000022707593