Phpcms 中防止 CSRF(跨站请求伪造)的核心在于使用 令牌验证机制,同时结合安全的开发实践来防御跨站请求攻击。虽然 Phpcms 早期版本对安全防护支持较弱,但通过手动增强或升级到更安全的架构,可以有效防范此类风险。
1. 使用 Token 防止 CSRF 提交
在表单中加入一次性令牌(Token),是防御 CSRF 最基本且有效的方式。
– 在生成表单时,后端生成一个随机 token,保存在 session 中,并作为隐藏字段插入表单:
zuojiankuohaophpcninput type=”hidden” name=”csrf_token” value=”<?php echo $_SESSION[‘csrf_token’]; ?>”>
– 提交表单时,服务器端先比对提交的 token 与 session 中的值是否一致,不一致则拒绝请求。
示例代码:
立即学习“PHP免费学习笔记(深入)”;
<?phpsession_start();if ($_POST) { if (!isset($_POST[‘csrf_token’]) || $_POST[‘csrf_token’] !== $_SESSION[‘csrf_token’]) { die(‘非法请求’); } // 处理正常逻辑}// 生成新 token$_SESSION[‘csrf_token’] = bin2hex(random_bytes(16));?>
2. 验证 HTTP Referer 头
检查请求来源是否为本站,可初步判断是否为跨站伪造请求。
– 在关键操作接口中增加 referer 校验:
<?php$referer = $_SERVER[‘HTTP_REFERER’] ?? ”;if (strpos($referer, ‘https://yourdomain.com’) !== 0) { die(‘请求来源非法’);}?>
注意:Referer 可能被客户端屏蔽或篡改,不能单独依赖,需配合 Token 使用。
3. 关键操作使用 POST + Token 双重验证
避免使用 GET 请求执行敏感操作(如删除、修改配置等)。所有数据修改必须通过 POST 提交,并携带有效 token。
– 将删除、编辑等链接改为表单提交方式- 禁止直接通过 URL 触发重要操作
例如:删除文章应使用 POST 方法提交包含 ID 和 token 的表单,而不是 <a href=”/delete?id=1″> 删除 </a>
4. 设置 SameSite Cookie 属性
在 PHP 中设置 Cookie 时,启用 SameSite 属性可减少浏览器自动携带 Cookie 的场景。
session_set_cookie_params([‘samesite’ => ‘Strict’]);
– Strict:完全禁止跨站携带 Cookie- Lax:允许部分安全的 GET 导航携带(推荐平衡体验与安全)
基本上就这些。Phpcms 原生防护较弱,重点靠开发者手动补足。只要做到 关键操作用 POST + Token 校验 + Referer 初步过滤 + SameSite Cookie,就能有效抵御大多数 CSRF 攻击。安全无小事,尤其老系统更要主动加固。
评论(0)