Deutsch
Deutsch
In Webanwendungen sind Sitzungen ein wichtiges Mittel, um den Benutzerstatus zu verfolgen und Informationen zu speichern. Aufgrund der Offenheit der Webumgebung sind Sitzungsdaten jedoch anfällig für Cross-Domänen-Angriffe. Dieser Artikel wird gemeinsame und praktische Schutztechniken in PHP ausgeben und spezifische Code -Beispiele enthalten.
Die Sitzungs -ID wird normalerweise in Cookies gespeichert. Um Cross-Domänen-Angriffe zu verhindern, kann die Sicherheit durch Anpassen von Cookie-Attributen verbessert werden. Hauptsächlich involviert:
Beispielcode:
Session_Start (); <p>// Holen Sie sich den aktuellen Cookie -Parameter<br> $ cookieparams = session_get_cookie_params ();</p> <p>// Safe Cookie -Attribute festlegen<br> Session_set_cookie_params (<br> $ cookieparams ["lebenslang"],<br> $ cookieparams ["Path"],<br> $ cookieparams ["Domain"],<br> Richtig, // sicher<br> Richtig // httponly<br> );</p> <p>$ _Session ["Benutzername"] = "user123";</p> <p>Session_write_close ();<br>
Stellen Sie sicher, dass der Sitzungsvorgang nur unter dem autorisierten Domänennamen auftritt, wodurch das Risiko von Cross-Domänen-Angriffen verringert wird. Es kann mit $ _server ['http_referer'] implementiert werden:
if (isset($urlParts['host']) && $urlParts['host'] === $allowedDomain) {
return true;
} else {
return false;
}
}
// Beispiel verwenden
if (validateReferer ("example.com")) {
// Sessionsbezogene Operationen durchführen
} anders {
// illegale Quelle, Zugriff verweigert oder Fehler aufgenommen
}
Generieren Sie für jede Sitzung eine eindeutige Token, tragen Sie sie, wenn der Client die Konsistenz des Tokens auf der Serverseite beantragt, um Fälschungsanforderungen zu verhindern:
// Token generieren
Funktion Generatetoken () {
$ token = bin2hex (random_bytes (32));
$ _Session ["csrf_token"] = $ token;
kehren $ token zurück;
}
<p>// Token überprüfen<br>
Funktion validateteoken ($ token) {<br>
return isset ($ _ session ["csrf_token"]) && $ _Session ["csrf_token"] === $ token;<br>
}</p>
<p>// Token generieren und sie zur Form ausgeben<br>
$ token = GeneratEToken ();</p>
<p>echo '<form method="post"> ';<br>
echo '<input type="hidden" name="csrf_token" value="' . $token . '"> ';<br>
echo '<input type="submit" value="Einreichen"> ';<br>
echo '</form> ';</p>
<p>// Überprüfen Sie bei der Anfrageverarbeitung<br>
if (isset ($ _ post ["csrf_token"]) && validatEtoken ($ _ post ["csrf_token"])) {<br>
// Token ist gültig, führen Vorgänge aus<br>
} anders {<br>
// Token ist ungültig, der Betrieb wird abgelehnt<br>
}<br>
Durch die vernünftige Einstellung von Cookie-Attributen, die Überprüfung der Anforderungsquellendomäne und die Übernahme des Token-Mechanismus können Sie die Cross-Domänen-Angriffsrisiken der PHP-Sitzung effektiv schützen. Es wird empfohlen, bestimmte Geschäftsszenarien in der tatsächlichen Entwicklung zu kombinieren, weiterhin auf Sicherheitslücken zu achten und Richtlinien rechtzeitig zu aktualisieren, um Benutzerdaten und Datenschutzsicherheit zu gewährleisten.
