我正在尝试为我网站上的表单添加一些安全性.其中一种形式使用AJAX,另一种形式是直接的“联系我们”形式.我正在尝试添加CSRF令牌.我遇到的问题是令牌只在某些时候出现在HTML“值”中.剩下的时间,值是空的.这是我在AJAX表单上使用的代码:
PHP:
if (!isset($_SESSION)) {
session_start();
$_SESSION['formStarted'] = true;
}
if (!isset($_SESSION['token']))
{$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
}
HTML
<form>
//...
<input type="hidden" name="token" value="<?PHP echo $token; ?>" />
//...
</form>
有什么建议?
解决方法:
对于安全代码,请不要以这种方式生成令牌:$token = md5(uniqid(rand(),TRUE));
> rand() is predictable
> uniqid() only adds up to 29 bits of entropy
> md5()不添加熵,它只是确定性地混合它
试试这个:
生成CSRF令牌
PHP 7
session_start();
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];
旁注:my employer’s open source projects之一是将random_bytes()和random_int()反向移植到PHP 5项目中的计划.它是麻省理工学院的许可证,可在Github和Composer上获得,编号为paragonie/random_compat.
PHP 5.3(或使用ext-mcrypt)
session_start();
if (empty($_SESSION['token'])) {
if (function_exists('mcrypt_create_iv')) {
$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
}
$token = $_SESSION['token'];
验证CSRF令牌
不要只使用==或甚至===,使用hash_equals()(仅限PHP 5.6,但可用于hash-compat库的早期版本).
if (!empty($_POST['token'])) {
if (hash_equals($_SESSION['token'], $_POST['token'])) {
// Proceed to process the form data
} else {
// Log this as a warning and keep an eye on these attempts
}
}
进一步使用每个表单令牌
您可以使用hash_hmac()进一步限制令牌仅适用于特定表单.HMAC是一种特殊的键控哈希函数,即使使用较弱的哈希函数(例如MD5)也可以安全使用.但是,我建议使用SHA-2系列哈希函数.
首先,生成第二个令牌以用作HMAC密钥,然后使用这样的逻辑来呈现它:
<input type="hidden" name="token" value="<?PHP
echo hash_hmac('sha256', '/my_form.PHP', $_SESSION['second_token']);
?>" />
然后在验证令牌时使用全等操作:
$calc = hash_hmac('sha256', '/my_form.PHP', $_SESSION['second_token']);
if (hash_equals($calc, $_POST['token'])) {
// Continue...
}
在不知道$_SESSION [‘second_token’]的情况下,为一个表单生成的标记不能在另一个上下文中重用.使用单独的令牌作为HMAC密钥非常重要,而不是刚刚放在页面上的令牌.
奖励:混合方法Twig集成
使用Twig templating engine的任何人都可以通过将此过滤器添加到其Twig环境中而受益于简化的双重策略:
$twigEnv->addFunction(
new \Twig_SimpleFunction(
'form_token',
function($lock_to = null) {
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if (empty($_SESSION['token2'])) {
$_SESSION['token2'] = random_bytes(32);
}
if (empty($lock_to)) {
return $_SESSION['token'];
}
return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
}
)
);
使用此Twig功能,您可以使用这两个通用令牌:
<input type="hidden" name="token" value="{{ form_token() }}" />
或锁定的变体:
<input type="hidden" name="token" value="{{ form_token('/my_form.PHP') }}" />
Twig只关注模板渲染;你仍然必须正确验证令牌.在我看来,Twig策略提供了更大的灵活性和简单性,同时保持了最大安全性的可能性.
一次性使用CSRF令牌
如果您有安全要求允许每个CSRF令牌只能使用一次,那么最简单的策略是在每次成功验证后重新生成它.但是,这样做会使之前的每个令牌无效,这些令牌与一次浏览多个标签的人不能很好地混合.
Paragon Initiative Enterprises为这些角落案件保留了Anti-CSRF library.它仅适用于一次性使用的单一形式令牌.当足够的令牌存储在会话数据中时(默认配置:65535),它将首先循环出最旧的未兑换令牌.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
