php - 在索引页面上设置 PHP session 以进行 XSRF 检查-6ren

php - 在索引页面上设置 PHP session 以进行 XSRF 检查

转载作者：可可西里更新时间：2023-11-01 01:02:29

24

4

我遇到了以下关于 XSRF token 的问题。

客户端:AngularJS服务器:PHP

当 index.php 被点击时，PHP 生成一个 XSRF token 并将其保存在 session 中。cookie 设置为相同的值。

AngularJS 读取 cookie 并存储值。

在后续的 POST 中，XSRF token 作为 header 发送，其想法是将存储的 session token 与发送的 header 进行比较。

一切似乎都很好，没有任何问题。

但是:问题是 PHP 无法读取在 index.php 中注册的 session ，因为技术上没有页面重新加载!如果我按 F5 键并重新加载所有内容， session 会被很好地读取。

如何在 index.php 上设置 XSRF session token ，并使其可用于来自客户端的后续 ajax 请求？我在这件事上大发雷霆...感谢反馈。

更新

更改 session 标识符名称后，一切突然正常了!

在 index.php 中:

// Create token and set session
session_start();
$token = hash('sha256', uniqid(mt_rand(), true));
$_SESSION['XSRF']=$token;

稍后，也在 index.php 中:

/* Give token to Angular client */
<script>
angular.module("app").constant("CSRF_TOKEN", '<?=$_SESSION['XSRF'];?>'); 
</script>

请注意，我没有使用 cookie，而是设置了一个常量，然后可用于 Angular 中的 .run 方法:

在 Angular 中:

angular.module('app').run(['CSRF_TOKEN','$http',function(CSRF_TOKEN,$http) {

   $http.defaults.headers.common['CSRF_TOKEN'] = CSRF_TOKEN;

所有对服务器的请求都被路由到一个通用的 php 文件。该文件检查是否设置了 header ，并比较两个标记:

// Only POST requests are checked (I don't use PUT/DELETE)
if($_SERVER['REQUEST_METHOD']=="POST"){
   session_start();
   $headerToken = $_SERVER['HTTP_CSRF_TOKEN'];
   $sessionToken = $_SESSION['XSRF'];
   if($headerToken!=$sessionToken){
      header('HTTP/1.0 401 Unauthorized');
      exit;
   }
}

最佳答案

这就是我在我的 PHP/AngularJS 项目中所做的:

索引.php

session_start();
if (!isset($_SESSION['XSRF-TOKEN'])) {
    $uniqueValues = md5($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT']); //add more/less/any "unique" values, see comments
    $_SESSION['XSRF-TOKEN'] = sha1(uniqid(microtime() . $uniqueValues, true));
    setcookie('XSRF-TOKEN', $_SESSION['XSRF-TOKEN']);
}

AngularJS 调用的任何脚本 $http:

(AngluarJS 使用 cookie XSRF-TOKEN 的值，并将在每个请求中将其作为 X-XSRF-TOKEN 自定义 header 发送，因此我们需要将该值与存储在 session 中的值进行比较。)

function verifyXSRF() {

    /*
    $headers = apache_request_headers();
    $headerToken = "";
    foreach ($headers as $header => $value) {
        if ($header == "X-XSRF-TOKEN") {
            $headerToken = $value;
            break;          
        }
    }
    */

    //more efficient, see comments
    $headerToken = $_SERVER['HTTP_X_XSRF_TOKEN'];

    if ($headerToken != $_SESSION['XSRF-TOKEN']) return false;
    return true;
}

session_start();
if (!verifyXSRF()) die("XSRF error");

欢迎反馈，因为我不确定这是否足以保护 XSRF。

关于php - 在索引页面上设置 PHP session 以进行 XSRF 检查，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/20196737/

24

4

0

文章推荐： swift - 如何检查是否实现了可选的重载方法？

文章推荐： java - 如何将 String 转换为 char 数组？

文章推荐： ios - SpriteKit 中设备的基本定位

文章推荐： java - 如何在java中删除Jtidy中的警告

javascript - 使用 jQuery 检查 radio 时，检查 radio 是否被选中不起作用
我需要根据需要动态设置文本区域，但它不想正常工作。 JQuery 会自行检查，但无法检查是否已检查。但是当您在第二个单选框内单击时，始终需要文本区域。我尝试了很多次让它工作，但它仍然有问题。我添加了“
python - Django : Fetch XML, 中的 urllib2/pycurl 检查 HTTP 状态，检查 HTTPS 连接
我需要在 Django 中进行 API 调用(某种形式)，作为我们所需的自定义身份验证系统的一部分。用户名和密码通过 SSL 发送到特定 URL(对这些参数使用 GET)，响应应该是 HTTP 200
检查#warning预处理器的可用性
我将在我的可移植 C 代码中使用 #warning 来生成编译时警告。但并非所有平台都支持 #warning。有什么方法可以找到该平台是否支持 #warning。 #ifdef warning
检查 for 语句中的条件
我编写了一个函数来检查某个数字是否存在于某个区间内。停止搜索的最佳方法是什么？这个: for (i = a; i <= b; i++) { fi = f(i); if (fi == c) {
检查 C 中的不同字符
我想知道在 c 中是否有一种方法可以检查，例如在 for 函数中，如果变量等于或不等于某些字符，而不必每次都重复进行相等性检查。如果我没记错的话，以这种方式检查相等性是不正确的: if (a == (
检查 C 中是否有可变参数
我有如下日志功能 void log_error(char * file_name, int line_num, int err_code) { printf("%s:%d:%s\n", fil
检查 SSH 私钥是否加密
使用 ssh-keygen 生成的 key 对在 macOS 上可以有不同的格式。 macOS 可读的标准 PEM ASN.1 对象 SecKey API 带有文本标题的 PEM OpenSSH ke
Excel:检查 IF 语句中的错误
我正在尝试编写一个 excel if 语句。我不熟悉使用 Excel 具有的所有额外功能。我正在使用一个名为 importXML() 的函数.我正在尝试检查我正在使用的函数是否生成“#VALUE!”错
检查 aio_write 是否完成
有没有办法检查是否没有 AIO 写入给定文件？我在我的 Unix 类(class)上制作了一个项目，该项目将是一个上下文无关(基于 UDP)的国际象棋服务器，并且所有数据都必须存储在文件中。应用程序将
java - 执行函数时避免连续的 "if (...)"检查
我有一个如下所示的函数: public Status execute() { Status status = doSomething(); if (status != Stat
php - 抑制特定文件夹或文件的错误消息/检查
我正在使用 Composer，我不希望 PhpStorm 在 vendor 文件夹上运行任何错误检查或检查，因为它对 vendor/中的某些代码显示误报composer/autoload_static
chapel - 检查/确保两个数组具有相同的域和分布的最佳方法是什么？
Chapel 的一个很好的特性是它区分了数组的域和它的分布。检查两个数组是否具有相同的域和分布(通常想要的)的最佳方法是什么？我能看到的最好的方法是检查 D1==D2和 D1.dist==D2.di
JavaScript:检查/比较所有字段的值
在我的 JavaScript 函数中，我为所有输入、文本区域和选择字段提供实际值作为 initial_value: $('input, textarea, select').each(function
PHP ErrorFlag 检查？
我正在编写一个分解为几个简单函数的 PHP 类。在构造函数中，它调用另一个名为 processFile 的函数。该函数调用 5 个私有(private)函数并进行检查。如果检查失败，它会将消息分配给
javascript - 检查 "how"链接被点击
这个问题已经有答案了: How to detect if user it trying to open a link in a new tab? (2 个回答) 已关闭 7 年前。我认为 JavaS
sql - 检查@@rowcount函数来确定行是否存在可以吗？
我正在浏览我们的代码库并看到很多这样的测试: declare @row_id int = ... declare @row_attribute string select @row_attribu
javascript - 检查 IF 语句内的函数解释
我正在声明一个用作比较的函数。我的问题是: 为什么条件充当语句？为什么第 4 行可以工作，而第 5 行却不行？我知道这段代码不切实际且未使用，但为什么编译器允许这种语法？谷歌没有找到答案。但话又
PHP - 检查/比较文本字段的输入
到目前为止，我有一个带有空文本字段的 PHP Kontaktform，并使用以下命令检查了所需的字段: $name = check_input($_POST['name'], "请输入姓名。"); 现
PHP 检查 not > 0
目前，我能想到的合理检查的唯一方法没有臃肿的逻辑: if ( $value > 0 ) { // Okay } else { // Not Okay } 有没有更好的办法？最佳答案
javascript - 检查[i]是否存在
我正在尝试运行一个脚本，如果 i 存在(意味着存在 i 值，任何值)或其他部分，我希望运行其中的一部分如果i没有值就运行，有人可以启发我吗？我说的是 for 循环，比如 for (var i=0;

首页

博学

6Ren·AI

商城

php - 在索引页面上设置 PHP session 以进行 XSRF 检查