我正在使用Codeigniter,我想防止可能发生的CSRF攻击尝试。为了实现这一点,我向我想要保护的每个表单添加了一个带有随机令牌的隐藏输入标记,同时我将此令牌保存在会话中,以便在开始处理此表单数据时进行比较。
// set a token to prevent CSRF attacks
$csrf_token = md5(uniqid(rand(), true));
$this->session->set_userdata("csrf_token", $csrf_token);
表单将如下所示:
<form action="path/to/handler/page" method="post">
<input type="text" name="title">
<input type="text" name="date">
<textarea name="content"></textarea>
<input type="hidden" name="csrf_token" value="<?php echo $this->session->userdata("csrf_token") ?>">
<input type="submit" name="submit" value="Save">
</form>
在我处理提交数据的页面上,我检查CSRF攻击,比如:
// make sure there is no CSRF attack attempt
$csrf_token = $this->session->userdata("csrf_token");
if (empty($csrf_token) || $csrf_token !== $this->input->post("csrf_token")) {
die("Some message here!!");
}
而且效果很好。但正如你所看到的,我为每个包含表单的页面生成一个随机令牌,在某些情况下,如果我在浏览器中打开另一个选项卡来执行其他操作,这会导致问题。考虑这个场景:
- 我打开
add.php
页面添加了一个新项目 - 我填写了所有必需的数据,但我没有提交表格
- 现在,我决定在浏览器的另一个选项卡中打开
edit.php
页面来编辑现有项目 - 然后我回到填写的
add.php
页面,并尝试提交数据
在这一点上,我将得到一个错误,因为当我打开add.php
页面时存储在会话中的令牌的值已经更改,并在我打开edit.php
页面时用另一个令牌替换。那么我该如何解决这个问题呢?当每个用户成功登录时,我应该只为他生成一个令牌,然后在他可能处理的所有页面中使用这个令牌吗?这种方法有任何风险或缺点吗?
我扫描了你的帖子,看不出为什么不使用基本代码点火器CSRF保护?你似乎在重新发明轮子,并制造标准实现中不存在的问题。
更不用说你试图将你的代币打印到每一个表单上违反了DRY原则。有什么理由不保持简单吗?
Codeigniter内置CSRF保护,可在/application/config/config.php 中启用
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_token_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] = 7200;
为了解决这个问题,您可以创建一个具有唯一密钥的令牌字符串,并将密钥/令牌对存储在会话中(作为CodeIgniter中的用户数据)。
考虑到这种情况,您需要以下步骤:
- 正在创建唯一的令牌密钥
- 正在创建令牌字符串
- 在会话中存储密钥/令牌对(用户数据)
- 为CSRF密钥和令牌创建2个隐藏的
<input>
元素 - 通过检查会话中是否存在密钥/令牌来验证已发布的密钥/令牌
开始工作:
$csrf_key = "TOKEN_" . mt_rand(0, mt_getrandmax());
$csrf_token = hash("sha512", mt_rand(0, mt_getrandmax()));
// Store the key/token pair in session
$this->session->set_userdata($csrf_key, $csrf_token);
添加隐藏input
s:
<form action="path/to/handler/page" method="post">
<!-- form input elements -->
<input type="hidden" name="csrf_key" value="<?php echo $csrf_key; ?>">
<input type="hidden" name="csrf_token" value="<?php echo $this->session->userdata($csrf_key); ?>">
</form>
验证已发布的密钥/令牌:
if (count($_POST)) {
if (! isset($_POST['csrf_key']) or ! isset($_POST['csrf_token'])) {
die('No CSRF token found, invalid request.');
}
$key = $this->input->post('csrf_key');
$token = $this->input->post('csrf_token');
if ($token !== $this->session->userdata($key)) {
die('Invalid CSRF token, access denied.');
}
}