首页>PHP源码>其他类别
下载

PHP 的 pedroac/nonce

一个随机数管理器 PHP 库,可用于防止 CSRF 和重放攻击。

我们可能会找到几篇文章和视频来解释随机数试图防止的漏洞:

  • YouTube - Jmaxxz - CSRF 解释
  • YouTube - 梅塞尔教授 - 跨站请求伪造
  • YouTube - 梅塞尔教授 - 重放攻击
  • YouTube - Hak5 - 如何通过无线电重放攻击破解无线遥控器
  • 编码恐怖 - 防止 CSRF 和 XSRF 攻击
  • acunetix - CSRF 攻击、XSRF 或 Sea-Surf
  • SitePoint - 如何防止网站上的重放攻击

然而,许多 PHP nonces 库似乎限制太多,再加上一些框架,难以使用或难以理解它们是如何工作的。

pedroac/nonce试图解决这些问题。

它允许选择任何 PSR-16 实现来临时存储随机数、随机数值生成器、过期间隔,甚至使用DateTime提供程序来覆盖时钟系统(此功能用于单元测试)。

它还提供帮助程序来管理输入、生成随机随机数名称和值、根据随机数验证提交的令牌并生成 HTML 元素。

先决条件

  • PHP 7.1 或更高版本:http://php.net/downloads.php
  • 作曲家:https://getcomposer.org
  • 至少一种 PSR-16 实施。示例:
    • symfony/缓存
    • 马蒂亚斯莫利/剪贴簿

安装中

运行命令:

composer require pedroac/nonce

用法

示例

  • 使用 Symfony ArrayCache
  • CLI测试
  • 使用会话的 HTML 表单
  • 使用自动生成的随机数名称的 HTML 表单
  • 使用助手的 HTML 表单

HTML 表单可以使用 PHP 内置 Web 服务器进行测试。
php/examples文件夹运行命令: 

php -S localhost:8000

在浏览器中使用 URL http://localhost:8000/。

带有令牌的 HTML 表单

  1. 创建一个随机数表单助手: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );
  1. 检查是否提交了有效的令牌: 
 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}
  1. 检查是否提交了无效令牌: 
 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}
  1. 实现 HTML 表单: 
<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

当使用NonceForm类验证令牌时,随机数会自动过期。

一般用法

  1. 实例化一个随机数管理器: 
 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );
  1. 提交请求时,验证提交的令牌并删除随机数: 
 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}
  1. 在适当的时候生成一个随机数: 
 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}
  1. 例如,使用随机数名称和值构建 HTML 表单: 
 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

选项

除了随机数缓存存储之外,还可以选择随机随机数值生成器和过期间隔: 

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

还可以创建具有指定名称的随机数: 

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

NonceForm默认输入源是$_POST,但它接受任何数组输入: 

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);

运行测试

从库根文件夹运行:

php/vendor/bin/phpunit php/tests/ -c php/tests/configuration.xml

如果测试成功, php/tests/coverage-html应该有代码覆盖率报告。

生成 HTML 文档

从库根文件夹运行:

sh scripts/generate-docs.sh

生成的文档应位于文件夹docs内。

版本控制

应该使用 SemVer 进行版本控制。

作者

  • Pedro Amaral Couto - 初始工作 - https://github.com/pedroac

执照

pedroac/nonce 是根据 MIT 公共许可证发布的。
有关详细信息,请参阅随附的许可证。

致谢

该库是作为 Stackoverflow 用户发出的私人请求响应而开发的。

展开
附加信息
相关应用
为您推荐
相关资讯 全部