PHP中的CSRF防御：如何防止跨站请求伪造攻击

csrf（跨站请求伪造）是一种攻击方式，攻击者通过诱导用户访问恶意网站，利用浏览器自动携带认证凭据发起非用户本意的请求。防御csrf的核心在于验证请求来源合法性并确认用户主动操作。php中防御csrf的方法主要有：1. 使用csrf token，在服务端生成随机token并存储于session，嵌入表单隐藏字段，提交时校验一致性；2. 验证http referer头，判断请求是否来自可信来源，但不能单独使用；3. 使用samesite cookie属性，限制跨站请求携带cookie，如设置session.cookie_samesite为lax。此外需注意：不要依赖get请求执行敏感操作，不要将token存入cookie，避免长期使用同一token，并确保ajax请求也携带token。合理结合token机制、cookie控制和请求来源验证，能有效降低csrf风险。

在Web开发中，CSRF（跨站请求伪造）是一种常见的安全攻击方式。攻击者通过伪装成用户发送恶意请求，从而执行非用户本意的操作，比如修改密码、转账等。PHP作为广泛使用的后端语言，也需要重视CSRF的防御机制。防止CSRF的关键在于验证请求来源的合法性，并确保操作是用户主动发起的。

什么是CSRF？

CSRF（Cross-Site Request Forgery），中文叫“跨站请求伪造”，指的是攻击者诱导用户访问一个恶意网站，该网站向你正在登录的应用发送请求，而你的浏览器因为保存了合法的会话信息（如Cookie），自动将请求带上认证凭据，导致服务器误以为是你自己发出的请求。

举个例子：你在银行网站登录后没退出，然后访问了一个含有恶意代码的网页，这个页面偷偷向银行网站发起转账请求，结果钱就被转走了。

立即学习“PHP免费学习笔记（深入）”；

PHP中如何防御CSRF？

要有效防御CSRF，核心思想是为每个请求加上一个一次性且不可预测的令牌（Token）。只有服务器知道这个令牌的值，并且要求客户端在提交请求时也必须带上这个值。这样就能判断请求是否来自可信来源。

1. 使用CSRF Token

• 每次生成表单或需要执行敏感操作时，服务端生成一个随机的token并存储在session中。
• 将该token以隐藏字段的方式嵌入到HTML表单中。
• 当用户提交表单时，检查提交的token与session中的是否一致。
• 如果不一致或缺失，则拒绝请求。

// 生成token if (empty($_SESSION['csrf_token'])) {     $_SESSION['csrf_token'] = bin2hex(random_bytes(50)); }  // 表单中加入token字段 echo '<input type="hidden" name="csrf_token" value="' . htmlspecialchars($_SESSION['csrf_token']) . '">';  // 提交时验证token if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {     die('非法请求'); }

注意：每次提交后应重新生成token，避免token被窃取后重复使用。

2. 验证HTTP Referer头

虽然Referer头可以伪造，但在多数情况下仍可作为一个辅助手段来判断请求来源是否合法。例如，只允许来自本站域名的请求。

$allowed_referer = 'https://yourdomain.com'; if (!isset($_SERVER['HTTP_REFERER']) || strpos($_SERVER['HTTP_REFERER'], $allowed_referer) !== 0) {     die('请求来源不合法'); }

这种方法不能单独使用，但可以作为额外一层防护。

3. 使用SameSite Cookie属性

现代浏览器支持设置Cookie的SameSite属性，它可以限制Cookie在跨站请求时是否会被发送：

• SameSite=Strict：完全禁止跨站携带Cookie。
• SameSite=Lax：允许部分GET请求携带Cookie，适用于大多数场景。
• SameSite=None; Secure：允许跨站携带，但必须配合HTTPS使用。

在PHP中可以通过设置session.cookie_samesite选项实现：

ini_set('session.cookie_samesite', 'Lax'); session_start();

推荐结合其他方法一起使用，提升安全性。

常见误区和注意事项

• 不要依赖GET请求做敏感操作：GET请求容易被图片标签、链接等触发，应该用POST/PUT/DELETE等方法。
• 不要把token放在Cookie里传回来：这样容易受到XSS攻击影响。
• 不要长期使用同一个token：建议每次请求都更新token。
• 不要忽视AJAX请求：同样需要在header或请求体中带上token。

基本上就这些。防御CSRF的核心在于识别用户的真实意图，而不是仅仅依赖身份凭证。合理使用token机制、控制Cookie行为和验证请求来源，能大大降低被攻击的风险。