跨站请求伪造 (CSRF) 保护

2024年8月29日 | 1 分钟阅读

CSRF 保护针对表单元素，例如用户注册或添加评论，这些元素容易受到此攻击。创建 CSRF 是为了防止表单值从我们的应用程序外部发送。为了解决这个问题，我们在每个表单中生成一个随机的 nonce（令牌）。

我们将令牌添加到会话中，然后验证该令牌。通过将表单发回应用程序的数据与会话中存储的令牌与表单提交的令牌进行比较。

示例

<?php echo Tag::form('session/login') ?>

    <!-- Login and password inputs ... -->

    <input type='hidden' name='<?php echo $this->security->getTokenKey() ?>'
        value='<?php echo $this->security->getToken() ?>'/>
</form>

然后在控制器的操作中，您可以检查 CSRF 令牌是否有效

<?php

use Phalcon\Mvc\Controller;

class SessionController extends Controller
{
    public function loginAction()
    {
        if ($this->request->isPost()) {
            if ($this->security->checkToken()) {
                // The token is OK
            }
        }
    }
}

下一个主题Phalcon 国际化

← 上一个下一个 →