我想知道这是否是一种设置令牌的安全方法,除非确实生成了令牌,否则我会生成一个令牌,并在整个应用程序和这些表单中使用它。每个会话一个令牌?
if (!isset($_SESSION['token'])) {
$data['token'] = uniqid(rand(), true);
session_regenerate_id();
$_SESSION['token'] = $data['token'];
}
是否有必要清除提交表单上的令牌?还是坚持下去,即使我提交了表格?
【问题讨论】:
就我个人而言,我会为我想要显示的每个表单生成一个新令牌。如果你这样做,只要会话保持活动状态,某人只需要一个会话 cookie 来读取你的令牌并使用它。
在我的应用程序中,我为每个表单显示生成一个令牌,如下所示:
<?php
$token = uniqid(rand(), true);
$_SESSION['csrf_tokens'][$token] = true;
HTML
<form>
<input type="hidden" name="token" value="<?php echo $token ?>" />
</form>
在表单验证时,我会像这样检查该令牌:
if (isset($_SESSION['csrf_tokens'][$token]) && $_SESSION['csrf_tokens'][$token] === true) {
unset($_SESSION['csrf_tokens'][$token]);
// additional code here
}
【讨论】:
我想知道这是否是一种设置令牌的安全方式
这取决于您的网络应用程序需要有多安全。此行不是加密安全的(正如 PHP 文档中针对 uniqid() 和 rand() 的警告):
uniqid(rand(), true);
如果令牌生成时间已知/确定并且 rand() 种子已知/确定,则攻击者确定/暴力破解这一点可能是可行的。但是,出于您的目的,它可能没问题,因为它仍然可以防止攻击者不知道令牌值的 CSRF 攻击。
每个会话一个令牌?
每个会话使用一个令牌可能适合您的目的。但是,请注意:
是否有必要清除提交表单上的令牌?还是坚持下去,即使我提交了表格?
这取决于您的应用程序的目标对攻击者的价值有多大,以及攻击会给您造成的破坏程度。您现有的措施使得执行 CSRF 攻击变得困难,但如果它具有很高的价值并且您有非常坚定的攻击者,那么您可能希望通过以下方式进一步降低 CSRF 的风险:
【讨论】:
比起使用per-session token,我更喜欢per-form/url token 以获得额外的安全性,有些人可能会认为per-request token 是最安全的,但会影响可用性。
我还认为最好将会话存储与令牌存储分开并使用Memcache 之类的东西。当您需要使用多个应用程序服务器等时,这会更好。我也更喜欢它,因为我可以添加自定义 expiration to the token 而不必影响整个 session
这是一个典型的例子
HTML
<form method="POST" action="#">
IP:<input type="text" name="IP" /> <input type="hidden" name="token"
value="<?php echo Token::_instance()->generate(); ?>" /> <input
type="Submit" value="Login" />
</form>
处理
$id = "id44499900";
Token::_instance()->initialise($id); // initialise with session ID , user ID or IP
try {
Token::_instance()->authenticate();
// Process your form
} catch ( TokenException $e ) {
http_response_code(401); // send HTTP Error 401 Unauthorized
die(sprintf("<h1>%s</h1><i>Thief Thief Thief</i>", $e->getMessage()));
}
使用的类
class Token {
private $db;
private $id;
private static $_instance;
function __construct() {
$this->db = new Memcache();
$this->db->connect("localhost");
}
public static function _instance() {
self::$_instance === null and self::$_instance = new Token();
return self::$_instance;
}
public function initialise($id) {
$this->id = $id;
}
public function authenticate(array $source = null, $key = "token") {
$source = $source !== null ? $source : $_POST;
if (empty($this->id)) {
throw new TokenException("Token not Initialised");
}
if (! empty($source)) {
if (! isset($source[$key]))
throw new TokenException("Missing Token");
if (! $this->get($this->id . $source[$key])) {
throw new TokenException("Invalid Token");
}
}
}
public function get($key) {
return $this->db->get($key);
}
public function remove($key) {
return $this->db->delete($key);
}
public function generate($time = 120) {
$key = hash("sha512", mt_rand(0, mt_getrandmax()));
$this->db->set($this->id . $key, 1, 0, $time);
return $key;
}
}
class TokenException extends InvalidArgumentException {
}
注意:请注意,该示例可能会影响“返回”按钮或刷新,因为令牌将在
120秒后自动删除,这可能会影响用户友好功能
【讨论】:
or 会话上编写了绑定,但他从未将令牌分配给既没有 ip 也没有会话的特定用户,因此攻击者不需要知道您的 cookie,因为他可以使用他的令牌作为你的。
$id 使用更新类.. 谢谢跨度>
TokenException 不是 InvalidArgumentException! 2) DB 不是 memcache
你能否参考以下网站,这可能会得到一些想法。
1.) https://docs.djangoproject.com/en/dev/ref/contrib/csrf/
2.) http://blog.whitehatsec.com/tag/session-token/
感谢回复。
【讨论】:
我已经在另一个论坛上回答了类似的问题:here。希望这会有所帮助。它解释了 CSRF 预防的基本过程,并链接了一些 CSRF 框架的代码。
如果您想要更高的安全性,请在每个会话的每个请求后更改令牌。如果您想要更好的可用性,请在每个会话中保留一个令牌。
【讨论】: