我正在尝试为我的网站中的表单添加一些安全性。其中一个表单使用了 AJAX,另一个是一个简单的“联系我们”表单。我尝试添加 CSRF 令牌。问题在于,有时令牌只会在 HTML 的“value”中显示,而其他情况下则为空。以下是我在 AJAX 表单上使用的代码:
PHP:
if (!isset($_SESSION)) {
session_start();
$_SESSION['formStarted'] = true;
}
if (!isset($_SESSION['token'])) {
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
}
HTML :
<input type="hidden" name="token" value="<?php echo $token; ?>" />
有什么建议吗?
为了安全起见,请不要使用以下方式生成您的令牌:$token = md5(uniqid(rand(), TRUE));
rand() 是可预测的uniqid() 只能添加最多 29 位的熵md5() 不会增加熵,它只会以确定性方式混合熵请尝试以下代码:
session_start();
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];
附注:我的雇主的开源项目之一是将random_bytes()和random_int()回溯到PHP 5项目的倡议。它采用MIT许可证,在Github和Composer上可用,名称为paragonie/random_compat。
session_start();
if (empty($_SESSION['token'])) {
if (function_exists('mcrypt_create_iv')) {
$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
}
$token = $_SESSION['token'];
不要只使用==甚至===,使用hash_equals()(仅适用于PHP 5.6+,但可通过hash-compat库提供给早期版本)。
if (!empty($_POST['token'])) {
if (hash_equals($_SESSION['token'], $_POST['token'])) {
// Proceed to process the form data
} else {
// Log this as a warning and keep an eye on these attempts
}
}
您可以使用hash_hmac()来进一步限制令牌仅在特定表单中可用。HMAC是一种特定的密钥哈希函数,即使使用较弱的哈希函数(例如MD5),也是安全的。但是,我建议改用SHA-2哈希函数族。
首先,生成第二个令牌以用作HMAC密钥,然后使用类似以下逻辑进行呈现:
<input type="hidden" name="token" value="<?php
echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
?>" />
然后在验证令牌时使用一致的操作:
$calc = hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
if (hash_equals($calc, $_POST['token'])) {
// Continue...
}
一个表单生成的令牌不能在没有知道$_SESSION['second_token']的情况下在其他上下文中重复使用。 重要的是,您使用与刚刚在页面上放置的令牌不同的令牌作为HMAC密钥。
任何使用Twig模板引擎的人都可以通过将此过滤器添加到其Twig环境中来受益于简化的双重策略:
$twigEnv->addFunction(
new \Twig_SimpleFunction(
'form_token',
function($lock_to = null) {
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if (empty($_SESSION['token2'])) {
$_SESSION['token2'] = random_bytes(32);
}
if (empty($lock_to)) {
return $_SESSION['token'];
}
return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
}
)
);
<input type="hidden" name="token" value="{{ form_token() }}" />
或者是锁定的变体:
<input type="hidden" name="token" value="{{ form_token('/my_form.php') }}" />
如果您有一个安全要求,每个CSRF令牌只允许使用一次,最简单的策略是在每次成功验证后重新生成它。然而,这样做将使之前的所有令牌无效,这与同时浏览多个选项卡的用户不太匹配。
Paragon Initiative Enterprises为这些特殊情况维护一个 Anti-CSRF库。它仅适用于每个表单令牌一次使用。当会话数据中存储了足够的令牌(默认配置:65535)时,它将首先循环出最旧的未兑换令牌。
安全警告:
md5(uniqid(rand(), TRUE))不是一种安全的生成随机数的方法。请查看此答案了解更多信息和一种利用加密安全随机数生成器的解决方案。
看起来你的 if 语句需要一个 else。
if (!isset($_SESSION['token'])) {
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
$_SESSION['token_time'] = time();
}
else
{
$token = $_SESSION['token'];
}
md5(uniqid(rand(), TRUE));。 - Scott Arciszewski$token没有从会话中检索出来,即使它已经存在。你可以使用time()方法和md5()方法使其唯一。
if (!isset($_SESSION['token']))
{
$time = time();
$_SESSION['token'] = md5($time);
$_SESSION['token_time'] = $time;
}
else
{
$token = $_SESSION['token'];
}
token_time用于什么? - zerkmstoken_time。我原本想限制令牌有效的时间,但是代码还没有完全实现。为了清晰起见,我已经从上面的问题中将其删除。 - Ken