Защита от CSRF-атак

@Alexal3 · Регистрация: 11.03.2018

Студворк — интернет-сервис помощи студентам

Как проверить на странице-обработчике, что запрос от AJAX пришёл именно с этого же сайта и залогиненого пользователя?

@Jewbacabra · 06.06.2018, 01:41

Сообщение от Alexal3

Как проверить на странице-обработчике, что запрос от AJAX пришёл именно с этого же сайта

Генерировать токен, отправлять его вместе с каждым аякс запросом и проверять что он совпадает.

Сообщение от Alexal3

залогиненого пользователя?

Проверять так же, ка и для остальных запросов

@Mr_Sergo · 06.06.2018, 02:41

Как вариант, допустим у тебя есть домен: www.qwerty.ru
Пишешь:

PHP
1
2
3
if($_SERVER['SERVER_NAME']=='www.qwerty.ru'){
    echo "Запрос пришел откуда предполагалось.";
}

Но предварительно посмотри что пишет:

PHP
1
echo $_SERVER['SERVER_NAME'];

И в зависимости от результата подставь нужное в $_SERVER['SERVER_NAME']=='www.qwerty.ru' --- вместо "www.qwerty.ru" название своего сервера.
Да и много как еще можно узнать откуда пришел запрос, почитай здесь
А по-поводу "залогиненого пользователя" --- тебе правильно сказали: ты же как-то проверяешь на остальных страницах своего сайта залогинен юзер или нет. Так же и проверяй.

@Para bellum · 06.06.2018, 06:48

zlojnaxa, Ваш вариант не подойдёт, в SERVER_NAME содержится, цитата

Сообщение от php.net

Имя хоста, на котором выполняется текущий скрипт.

От CSRF защищаются так, как сказал Jewbacabra.

@Mr_Sergo · 06.06.2018, 08:25

Para bellum, да, что-то я не подумав ляпнул, $_SERVER['SERVER_NAME'] ведь покажет имя хоста а не откуда был сделан запрос.
А если в файле-обработчике вместо $_SERVER['SERVER_NAME'] прописать $_SERVER['HTTP_REFERER'] вот так:

PHP
1
2
3
if($_SERVER['HTTP_REFERER']=='qwerty.ru'){
    echo "Запрос пришел откуда предполагалось.";
}

где qwerty.ru это страница откуда был сделан запрос- так же, по идеи, должно получиться? или это мало что даст?

@tarasalk · 06.06.2018, 08:30

zlojnaxa, а что если я локально пропишу у себя такой же хост и буду с него запросы слать? Хз, возможно ли так... но я исхожу из того, что никаким клиентским данным доверять нельзя.

@Mr_Sergo · 06.06.2018, 08:42

Сообщение от tarasalk

если я локально пропишу у себя такой же хост

поэтому я спросил:

Сообщение от zlojnaxa

или это мало что даст?

Мне тоже в голову приходила такая мысль. А может это пароноя

??

@Para bellum · 06.06.2018, 09:04

Сообщение от zlojnaxa

А если в файле-обработчике вместо $_SERVER['SERVER_NAME'] прописать $_SERVER['HTTP_REFERER']

Будет лучше, но не идеально. Прочтите здесь пункт 3:
https://habr.com/post/235247/

@Mr_Sergo · 06.06.2018, 09:23

Para bellum, спасибо за ссылку, поучительная и интересная статья, возьму на заметку. Каков ваш рецепт токена: имя пользователя+md5()+соль+еще что-то. Как бы вы оформили токен?

@Para bellum · 06.06.2018, 09:29

Сообщение от zlojnaxa

Как бы вы оформили токен?

Просто бы генерировал случайную строку. Из ничего, не прибегая к данным пользователя.

@Mr_Sergo · 06.06.2018, 09:35

Сообщение от Para bellum

Просто бы генерировал случайную строку.

Случайную, одноразовую строку в базу, потом сверить?

@Para bellum · 06.06.2018, 09:50

Лучше в сессию. А потом да, сверять.

@Mr_Sergo · 06.06.2018, 10:20

Para bellum,
Не понял. На странице с формой записываем токен в сессию и в бд, в обработчике сверяем токен из сессии с токеном из бд и соответственно если токены совпали то выполняем дальнейший код, если токена нет то ничего не делаем. Правильно? Просто если токен, на странице с формой, мы записали в сессию то с чем его сверять в обработчике?

@Para bellum · 06.06.2018, 10:50

Сообщение от zlojnaxa

Правильно?

Нет. Вы не так алгоритм поняли. Вот пример:
1) Пользователь зашёл на сайт. Создаём сессию:

PHP
1
2
3
if (!$_SESSION['_token']) {
    $_SESSION['_token'] = 'случайная строка';
}

2) Пользователь зашёл на страницу с формой. Выводим форму:

HTML5
1
2
3
4
<form method="post">
    <input type="hidden" name="_token" value="<?=$_SESSION['_token']?>">
    <input type="submit">
</form>

3) Пользователь отправил форму. Обрабатываем:

PHP
1
2
3
if ($_POST['_token'] !== $_SESSION['_token']) {
    // Код защиты от CSRF неверен. Дальше не пропускаем
}

Код, само собой, максимально упрощён.

@Mr_Sergo · 06.06.2018, 10:54

Para bellum, аа понял, как всегда все оказалось гораздо проще

--- спасибо

@Alexal3 · 06.06.2018, 13:29 **[ТС]**

Народ, спасибо! Токен помог решить проблему!)

@CoderHuligan · 06.06.2018, 14:24

Сообщение от zlojnaxa

аа понял, как всегда все оказалось гораздо проще

Только токен лучше в куку сохранять.

@Mr_Sergo · 06.06.2018, 20:34

Сообщение от CoderHuligan

Только токен лучше в куку сохранять.

В чем разница в куку или в сессию? Нагрузка на сервер?

@CoderHuligan · 06.06.2018, 20:43

Сообщение от zlojnaxa

В чем разница в куку или в сессию?

Да я об этом:

PHP
1
 <input type="hidden" name="_token" value="<?=$_SESSION['_token']?>">

Так лучше не делать. Хакер может подставить сюда любой код, какой хочет. А валидация value на стороне сервера становится проблемой.

@Mr_Sergo · 06.06.2018, 20:45

CoderHuligan, спасибо- учту.

Новые блоги и статьи Все статьи Все блоги /
Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а привычная функция main(). . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь(не выше 3-го порядка) постоянного тока с элементами R, L, C, k(ключ), U, E, J. Программа находит переходные токи и напряжения на элементах схемы классическим методом(1 и 2 з-ны. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/

@Alexal3 0 / 0 / 0 Регистрация: 11.03.2018 Сообщений: 13

	Защита от CSRF-атак 06.06.2018, 01:18. Показов 4067. Ответов 31 Метки нет (Все метки) Как проверить на странице-обработчике, что запрос от AJAX пришёл именно с этого же сайта и залогиненого пользователя? 0

@tarasalk 1992 / 1216 / 440 Регистрация: 13.06.2013 Сообщений: 4,115
	06.06.2018, 08:30
	zlojnaxa, а что если я локально пропишу у себя такой же хост и буду с него запросы слать? Хз, возможно ли так... но я исхожу из того, что никаким клиентским данным доверять нельзя. 0

@Mr_Sergo 2037 / 1096 / 409 Регистрация: 29.04.2016 Сообщений: 2,625
	06.06.2018, 09:23
	Para bellum, спасибо за ссылку, поучительная и интересная статья, возьму на заметку. Каков ваш рецепт токена: имя пользователя+md5()+соль+еще что-то. Как бы вы оформили токен? 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	06.06.2018, 09:50
	Лучше в сессию. А потом да, сверять. 1

@Mr_Sergo 2037 / 1096 / 409 Регистрация: 29.04.2016 Сообщений: 2,625
	06.06.2018, 10:20
	Para bellum, Не понял. На странице с формой записываем токен в сессию и в бд, в обработчике сверяем токен из сессии с токеном из бд и соответственно если токены совпали то выполняем дальнейший код, если токена нет то ничего не делаем. Правильно? Просто если токен, на странице с формой, мы записали в сессию то с чем его сверять в обработчике? 0

@Mr_Sergo 2037 / 1096 / 409 Регистрация: 29.04.2016 Сообщений: 2,625
	06.06.2018, 10:54
	Para bellum, аа понял, как всегда все оказалось гораздо проще --- спасибо 0

@Alexal3 0 / 0 / 0 Регистрация: 11.03.2018 Сообщений: 13
	06.06.2018, 13:29 [ТС]
	Народ, спасибо! Токен помог решить проблему!) 0

@Mr_Sergo 2037 / 1096 / 409 Регистрация: 29.04.2016 Сообщений: 2,625
	06.06.2018, 20:45
	CoderHuligan, спасибо- учту. 0

Защита от CSRF-атак

Решение