PHP如何处理跨站请求伪造(CSRF)_PHP CSRF攻击防御策略

答案：PHP通过生成并验证CSRF令牌、设置SameSite Cookie属性及双重提交Cookie等机制防御CSRF攻击，确保请求合法性。

PHP处理跨站请求伪造(CSRF)的核心在于验证请求的合法性，确保请求确实来自用户本人，而不是恶意站点冒充。主要策略是利用令牌（Token）进行校验。

解决方案

1. 生成CSRF令牌： 在用户会话中存储一个随机生成的唯一令牌。这个令牌应该是不可预测的，并且对于每个会话都是唯一的。

   session_start();
   if (empty($_SESSION['csrf_token'])) {
   $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
   }
   $csrf_token = $_SESSION['csrf_token'];

2. 在表单中包含令牌： 将CSRF令牌作为隐藏字段包含在所有需要保护的表单中。

   立即学习“PHP免费学习笔记（深入）”；

   <input type="hidden" name="csrf_token" value="<?php echo $csrf_token; ?>">

3. 验证令牌： 在处理表单提交时，验证提交的令牌是否与会话中存储的令牌匹配。

   session_start();
   if ($_SERVER["REQUEST_METHOD"] == "POST") {
   if (!isset($_POST['csrf_token']) || $_POST['csrf_token'] !== $_SESSION['csrf_token']) {
   // CSRF攻击 detected
   die("CSRF token validation failed.");
   } else {
   // Process the form data
   // ...
   // 销毁令牌，防止重复提交
   unset($_SESSION['csrf_token']);
   }
   }

4. 使用

   SameSite

   Cookie属性： 设置Cookie的

   SameSite

   属性为

   Strict

   或

   Lax

   ，可以防止浏览器在跨站请求中发送Cookie，从而降低CSRF攻击的风险。但要注意兼容性，老版本浏览器可能不支持。

   setcookie('cookie_name', 'cookie_value', ['samesite' => 'Strict']); // PHP 7.3+
   //或者使用header
   header('Set-Cookie: cookie_name=cookie_value; SameSite=Strict', false);

5. 使用双重提交Cookie（Double Submit Cookie）： 将CSRF令牌同时存储在Cookie和表单中。在验证时，比较Cookie中的令牌和表单中的令牌是否匹配。 虽然不如同步器令牌模式安全，但在某些场景下可以作为备选方案。

   // 设置Cookie
   $csrf_token = bin2hex(random_bytes(32));
   setcookie('csrf_token', $csrf_token, ['samesite' => 'Lax']);
   // 在表单中包含令牌
   <input type="hidden" name="csrf_token" value="<?php echo $csrf_token; ?>">
   // 验证
   if ($_COOKIE['csrf_token'] !== $_POST['csrf_token']) {
   die("CSRF validation failed.");
   }

PHP框架如何简化CSRF防御？

大多数现代PHP框架（如Laravel、Symfony、CodeIgniter）都内置了CSRF保护机制。它们通常提供中间件或助手函数，可以自动生成和验证CSRF令牌，简化开发过程。 例如，在Laravel中，只需在表单中包含

@csrf

指令，并启用相应的中间件即可。

为什么仅仅验证

Referer

头是不够的？

DeepSeek

幻方量化公司旗下的开源大模型平台

7087

查看详情

虽然

Referer

头可以提供一些关于请求来源的信息，但它很容易被伪造。恶意攻击者可以修改

Referer

头，使其看起来像是来自受信任的站点。因此，仅仅依赖

Referer

头进行CSRF防御是不安全的。

除了表单，AJAX请求如何防御CSRF？

对于AJAX请求，可以将CSRF令牌添加到请求头中。服务器端在处理AJAX请求时，需要从请求头中获取并验证CSRF令牌。

// JavaScript (Example using fetch API)
fetch('/your-api-endpoint', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'X-CSRF-TOKEN': document.querySelector('meta[name="csrf-token"]').getAttribute('content') // 从meta标签获取token，Laravel常用方式
},
body: JSON.stringify({ data: 'your data' })
})
.then(response => {
// ...
});
// PHP (Server-side)
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$csrf_token = $_SERVER['HTTP_X_CSRF_TOKEN'] ?? '';  // 注意大小写
if ($csrf_token !== $_SESSION['csrf_token']) {
die("CSRF validation failed.");
}
// ...
}

CSRF和XSS有什么区别？如何同时防御？

CSRF（Cross-Site Request Forgery）是跨站请求伪造，攻击者利用用户的身份，让用户在不知情的情况下执行恶意操作。XSS（Cross-Site Scripting）是跨站脚本攻击，攻击者将恶意脚本注入到受信任的网站中，当用户浏览该网站时，恶意脚本会在用户的浏览器中执行。

防御CSRF的主要方法是验证请求的来源，确保请求来自用户本人。防御XSS的主要方法是输入验证和输出编码，防止恶意脚本被注入到网站中。 通常需要同时采取措施来防御这两种攻击。比如使用CSP（Content Security Policy）可以有效缓解XSS攻击，配合CSRF Token机制，可以构建更安全的Web应用。

CSRF令牌应该存储在哪里？Session还是Cookie？

通常将CSRF令牌存储在Session中，因为Session数据是存储在服务器端的，相对更安全。虽然也可以将CSRF令牌存储在Cookie中，但需要注意设置Cookie的

HttpOnly

属性，防止客户端脚本访问Cookie，从而降低XSS攻击的风险。如果使用Cookie，务必配合

SameSite

属性使用。