在header中添加自定义属性防止CSRF

在header中添加自定义属性防止CSRF
一、 概述
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等造成的问题包括:个人隐私泄露以及财产安全。 

二、目前行业常见的防御方式
1.验证Referer;
2.使用验证码,用户体验比较差;
3.使用CSRF token,又分为在form表单中添加隐藏域携带token和在header中添加自定义参数携带token;
4.在请求地址中添加token并验证。
三、具体实现步骤
本文对于二中第3种方式的在请求header中添加自定义参数进行csrf参数进行防御进行实战介绍,该方式适合使用ajax异步提交表单和请求时使用。
1)在服务端做全局的token生成,token为一次性令牌(one-time token)令牌周期依赖于session的生命周期
示例:

            $csrf_token = md5(uniqid(rand(), TRUE));
            $_SESSION['csrf_token_name'] = $csrf_token;

2) 在前端得到token值

method="POST" action='target.php'> money:type='text' name='money'> type='hidden' name='csrf_token_name' value=""> bank:type='text' name='toBankId'> type='submit' name='submit' value='submit'>  

为了书写方便,可以将
封装成一个方法,前端页面直接调用即可。

3)ajax提交表单数据
改写jQuery中以下部分

    if ( s.crossDomain == null ) {
            parts = rurl.exec( s.url.toLowerCase() );
            s.crossDomain = !!( parts &&
                ( parts[ 1 ] != ajaxLocParts[ 1 ] || parts[ 2 ] != ajaxLocParts[ 2 ] ||
                    ( parts[ 3 ] || ( parts[ 1 ] === "http:" ? 80 : 443 ) ) !=
                        ( ajaxLocParts[ 3 ] || ( ajaxLocParts[ 1 ] === "http:" ? 80 : 443 ) ) )
            );
        }

        // Convert data if not already a string
        if ( s.data && s.processData && typeof s.data !== "string" ) {
            if(s.type.toUpperCase()=="POST"){
                if(s.data && s.data['csrf_token_name'] != undefined){
                    s.headers =  s.headers || {},
                    s.headers['Csrf-Token-Name'] = s.data['csrf_token_name'];
                    delete s.data['csrf_token_name'];
                }
            }

            s.data = jQuery.param( s.data, s.traditional );
        }

这样可以全局获取token并且将token附在header中Csrf-Token-Name上,提交至服务端。
4)服务端进行验证

        if (strtoupper($_SERVER['REQUEST_METHOD']) !== 'POST')
        {
            return true;
        }
        if($this->is_need_check_csrf()==false){
            return true;
        }
        $session_hash = $_SESSION['csrf_token_name'];
  $request_method = 2;

        if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) &&  $_SERVER['HTTP_X_REQUESTED_WITH'] === 'XMLHttpRequest') {
           $request_method = 1;
            $_scrf_key = "HTTP_Csrf_Token_Name";
            $valid = isset($_SERVER[$_scrf_key], $session_hash) && hash_equals($_SERVER[$_scrf_key],$session_hash);

        }
        else {
            $valid = isset($_POST['csrf_token_name'], $session_hash)
                && hash_equals($_POST['csrf_token_name'], $session_hash);
unset($_POST['csrf_token_name']);

        }
        csrf_regenerate(); 

        if ($valid !== TRUE)
        {
            if($request_method == 1){
                echo json_encode(array("statusCode"=>500,"errors"=>"页面停留时间过长,请刷新页面"));
                exit;
            }else if($request_method ==2){
                if(isset($_SERVER['HTTP_REFERER'])){
                    $referer=$_SERVER['HTTP_REFERER'];
                    header("Location: $referer");
                    exit;
                }else{
                    header("Location: /");
                    exit;
                }
            }
        }

验证请求是否合法,对于ajax请求返回json数据。
5)前端接收后端返回数据
如果请求验证通过,进行后续的业务处理,如果验证不通过,返回500状态码,前端页面进行刷新操作,提示停留时间过长造成的(可能的原因是长时间没操作,session过期,或者同一个页面多次打开,该token值已被其他tab使用过了),此时系统自动刷新当前页面。对于请求验证通过,但是页面不成功的情况,需要用户再次进行操作,此时需要请求回带新的token(x_token)回来。

// If not modified
                if ( status === 304 ) {

                    statusText = "notmodified";
                    isSuccess = true;

                // If we have data
                } else {

                    try {
                        success = ajaxConvert( s, response );
                        statusText = "success";
                        isSuccess = true;
                    } catch(e) {
                        // We have a parsererror
                        statusText = "parsererror";
                        error = e;
                    }
                }
                var t = JSON.stringify(response);
                if(t && t.statusCode != undefined && t.statusCode!=200 && t.data!=undefined && t.data.x_token != undefined){
                    $("input[name=csrf_token_name]").val(t.data.x_token);
                }
                if(t && t.statusCode != undefined && t.statusCode == 500){
                   setTimeout(function() {
                        location.reload();
                    }, 1000);
                }

你可能感兴趣的:(php,网站安全)