这对于 CSRF 保护来说足够了吗？

Question

这对于 CSRF 保护来说是否足够：

• 生成一个随机字符串，$_SESSION['hash'] 将其存储在
• 一个隐藏值（在 $_POST['thing'] 中）表单包含随机字符串
• 提交表单时，它会检查 $_SESSION['hash'] 是否等于 $_POST['thing']，如果匹配则继续

我网站的一位用户不断告诉我，我的网站容易受到攻击，但我无法判断他是否只是在恶搞我。我还有什么可以做的吗？

Answer 1

我认为您缺少的是将令牌限制在很小的时间范围内。

您应该看看Chris 的 CRSF 文章。快速总结：

• CSRF 攻击必须包含有效令牌（反 CSRF 令牌）才能完美模仿表单提交。
• 令牌的有效性也可以限制在一个很小的时间窗口内，例如五分钟。
• 如果您按照我的建议在所有表单中使用令牌，则可以从您的关注列表中消除 CSRF。虽然没有任何保护措施可以被认为是绝对的（攻击者理论上可以猜测有效的令牌），但这种方法减轻了大部分风险。直到下个月，注意安全。

Answer 2

如果它对每个用户来说都是唯一的，那么就足够了。即使用户会话持续时间相同，它仍然可以，但我建议定期重新生成它。
此外，您可能希望每个表单使用不同的令牌。例如，如果您有登录表单和评论表单，最好为它们使用不同的令牌，但这并不是 100% 必要的。

为什么您认为仅仅因为有人说您的网站容易受到攻击，就与 CSRF 附加有关？它们还有很多其他可能的漏洞。

也许您的 Web 服务器已经过时且容易受到攻击，也许 php 版本不是最新的。也许用户能够通过 ssh 或 telnet 登录到您的服务器。也许用户能够猜测管理员密码。

也许是为了让人们通过 cookie 登录并在 cookie 中存储登录凭据。

除了 CSRF 之外，还有太多可以被利用的东西。也有可能用户是错误的，或者不知道他在谈论什么，或者他只是想让你紧张。

Answer 3

每次加载页面时，如果尚未设置，页面都会发生变化。

好吧，这就是你的问题。一旦检索到令牌，所有操作都可以轻松地进一步执行。我通常将令牌实现为对单个请求有效，然后重新生成它。

Answer 4

来自：http://en.wikipedia.org/wiki/Cross-site_request_forgery

• 你可以额外减少 cookie 的生命周期，
• 检查 HTTP Referer 标头
• 和验证码 - 但并非每个用户都喜欢它

，但是您使用密钥的操作仍然比没有好......