CSRF防御逻辑流程:
- 用户访问某个表单页面。
- 服务端生成一个Token,放在用户的Session中,或者浏览器的Cookie中。(我放在缓存中)
- 在页面表单附带上Token参数。
- 用户提交请求后,服务端验证表单中的Token是否与用户Session(或Cookies)中的Token一致,一致为合法请求,不是则非法请求。
以下是代码参考
公共函数:
/**
* 跨站请求伪造CSRF防御(表单提交使用,单页面多表单请使用 控制器/接口 传值共同使用)
*
* @return string
*
* @author qinglin
*/
function csrfToken(){
$csrfToken = md5(rand());
cache(session::getid().'_csrf_token', $csrfToken);
return $csrfToken;
}
html表单:
<input type="hidden" name="csrf_token" value="{:csrfToken()}">
控制器表单提交:
// 跨站请求伪造CSRF防御
if(!isset($params['csrf_token']) || cache(session::getid().'_csrf_token') != $params['csrf_token']){
$this->error('系统检测行为非法提交,请刷新页面重新填写提交');
}