CSRF 토큰을 PHP 양식으로 검증하는 올바른 방법을 찾으십시오. 올바른 점검이 CSRF 공격을 효과적으로 방지 할 수있는 이유를 알아보십시오. ---이 비디오는 https://stackoverflow.com/q/73312646/에 대한 질문을 기반으로합니다. '스택 오버 플로우'웹 사이트에서 https://stackoverflow.com/u/19068/). 이 훌륭한 사용자와 StackexChange 커뮤니티 덕분에 공헌에 감사드립니다. 대체 솔루션, 주제, 주석, 개정 내역 등의 최신 업데이트/개발과 같은 독창적 인 컨텐츠 및 더 자세한 내용은 이러한 링크를 방문하십시오. 예를 들어, 질문의 원래 제목은 다음과 같습니다. 이것이 내 CSRF 토큰을 검증하는 올바른 방법입니까? 또한 CC BY-SA https://meta.stackexchange.com/help/licensing에 따라 라이센스가 부여 된 콘텐츠 (음악 제외) 원래 질문 게시물은 'CC Bysa 4.0'(https://creativecommons.org/licenses/by-sa/4.0/) 라이센스에 따라 라이센스가 부여되며, 원본 답변은 'CC Bee-sa 4.0'(CC Bee-sa 4.0)에 라이센스가 부여됩니다. https://creativecommons.org/licenses/by-sa/4.0/) 라이센스. 당신에게 어떤 것이 보이면, vlogize [at] gmail [dot] com에서 저를 보내 주시기 바랍니다. --- CSRF 토큰 검증 PHP : 제대로하고 있습니까? CSRF (Cross-Site Request Grosery)는 사용자 데이터를 손상시키고 웹 애플리케이션 내에서 무단 조치로 이어질 수있는 심각한 보안 위협입니다. 웹 사이트의 무결성과 보안을 유지하려면 양식에서 적절한 CSRF 보호를 구현하는 것이 필수적입니다. 이 안내서에서는 PHP에서 CSRF 토큰의 검증을 둘러싼 일반적인 질문을 살펴보고 올바른 접근 방식에 대한 명확성을 제공합니다. CSRF 토큰 이해 CSRF 토큰은 각 사용자 세션에 대해 생성되는 독특하고 비밀스럽고 예측할 수없는 값입니다. 이 토큰은 양식에 포함되어 서버에 대한 요청이 진실하고 악의적 인 행위자가 제작하지 않도록합니다. 다음은 작동 방식에 대한 간단한 개요입니다. 세션 생성 : 사용자가 웹 사이트에서 세션을 시작하면 CSRF 토큰이 생성되어 세션에 저장됩니다. 형식 포함 :이 토큰은 숨겨진 입력 필드로 양식에 포함됩니다. 유효성 검사 : 양식이 제출되면 서버는 양식의 토큰이 세션에 저장된 토큰과 일치하는지 확인합니다. 토큰 검증의 문제 여기서 시나리오는 다음과 같습니다. PHP 양식에서 CSRF 토큰을 구현했지만 유효성 검사 로직이 올바르게 설정되어 있는지 확실하지 않습니다. [[이 텍스트 또는 코드 스 니펫을 공개하려면 비디오 참조] 주요 질문은 CSRF 토큰을 효과적으로 검증하는 조건 ($ _post [ 'Token']! == $ _session [ 'Token'])입니다. 토큰의 존재를 확인하기 위해 검증을 단순화하면 어떻게됩니까? 유효성 검사의 중요성 여기서 두 가지 유효성 검사 시나리오의 고장입니다. 원래 유효성 검사 방법 [[이 텍스트 또는 코드 스 니펫을 공개하려면 비디오 참조] 토큰이 있는지 확인합니다. 첫 번째 부분은 토큰이 양식 제출에 존재하는지 확인합니다. 세션 토큰과 일치합니다. 두 번째 부분은 제출 된 토큰이 세션에 저장된 토큰과 일치하는지 확인합니다. 이점 :이 방법은 안전합니다. 공격자는 세션에 저장된 유효한 토큰을 예측할 수 없으므로 양식을 악용하기가 어렵습니다. 단순화 된 유효성 검사 방법 [[[이 텍스트 또는 코드 스 니펫을 공개하려면 비디오 참조]] 존재를 확인합니다.이 조건은 토큰 만 존재하는지 확인하지만 세션 토큰에 대한 유효성을 확인하지는 않습니다. 위험 : 이것은 CSRF 공격을 허용 할 수 있습니다. 공격자는 토큰과 함께 양식을 제출할 수 있으며 사용자가 로그인하면 세션에 저장된 유효한 토큰에 대한 확인없이 요청이 처리됩니다. 결론 원래 검증 방법은 CSRF 토큰의 존재와 정확성을 모두 확인하기 때문에 필요하고 안전합니다. 두 번째 조건을 제거하면 응용 프로그램이 CSRF 공격에 취약 해집니다. 악의적 인 요청이 확인되지 않은 상태로 진행될 수 있습니다. 주요 테이크 아웃은 항상 세션의 저장된 값에 대해 CSRF 토큰을 검증합니다. CSRF 공격으로부터 양식을 보호하는 것은 웹 사이트에서 보안을 유지하는 데 중요합니다. 이러한 모범 사례를 따르면 잠재적 인 위협으로부터 웹 애플리케이션을 효과적으로 보호합니다. CSRF 토큰 구현에 대한 질문이 있거나 설명이 필요한 경우 아래의 의견 섹션에 자유롭게 연락하십시오!
