CSRF保護機制

# CSRF保護機制 [CSRF](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0) - Cross-site request forgery - 是一種惡意使用者試圖讓你的合法用戶在不知不覺中提交他們不打算提交的資料的方法。 CSRF保護的工作原理是在表單中添加一個隱藏字段，其中包含只有您和您的用戶知道的值。這確保了用戶 - 而不是其他某個entity - 正在提交特定的資料。在使用 CSRF 保護之前，請在您的應用中安裝它： ``` composer require symfony/security-csrf ``` 然後，使用```csrf_protection```選項啟用/禁用 CSRF 保護（有關更多資訊，請參閱[CSRF配置](https://symfony.com/doc/current/reference/configuration/framework.html#reference-framework-csrf-protection)）： ``` # config/packages/framework.yaml framework: # ... csrf_protection: ~ ``` 用於 CSRF 保護的token對於每個用戶都是不同的，它們存儲在session中。這就是為什麼在您呈現具有 CSRF 保護的表單時會自動啟動session的原因。此外，這意味著您無法完全cachee包含 CSRF 保護表單的頁面。作為替代方案，您可以： - 將表單嵌入 uncached 的 [ESI片段](https://symfony.com/doc/current/http_cache/esi.html)並cache頁面的其餘內容； - cache整個頁面並通過uncached 的 AJAX 請求load表單； - cache整個頁面並使用[hinclude.js](https://symfony.com/doc/current/templating/hinclude.html)來load帶有uncached的 AJAX 請求的 CSRF token，並用它替換表單的field值。 ## Symfony 形式的 CSRF 保護使用 Symfony Form 組件創建的表單預設包含 CSRF token，Symfony 會自動檢查它們，因此您無需採取任何措施來防止 CSRF 攻擊。預設情況下，Symfony 在名為```_name```的隱藏field中添加 CSRF token，但這可以在每個表單上進行自定義： ```php= // src/Form/TaskType.php namespace App\Form; // ... use App\Entity\Task; use Symfony\Component\OptionsResolver\OptionsResolver; class TaskType extends AbstractType { // ... public function configureOptions(OptionsResolver $resolver): void { $resolver->setDefaults([ 'data_class' => Task::class, // enable/disable CSRF protection for this form 'csrf_protection' => true, // the name of the hidden HTML field that stores the token 'csrf_field_name' => '_token', // an arbitrary string used to generate the value of the token // using a different string for each form improves its security 'csrf_token_id' => 'task_item', ]); } // ... } ``` 您還可以自定義 CSRF 表單field的呈現，創建自定義[表單主題](https://symfony.com/doc/current/form/form_themes.html)並將```csrf_token```用作field的前綴（例如定義```{% block csrf_token_widget %} ... {% endblock %}```以自定義整個表單field內容）。 ## 登錄表單中的 CSRF 保護有關受 CSRF 攻擊保護的登錄表單，請參閱[安全](https://symfony.com/doc/current/security.html#form_login-csrf)。您還可以為[logout action](https://symfony.com/doc/current/reference/configuration/security.html#reference-security-logout-csrf)配置 CSRF 保護。 ## 手動生成和檢查 CSRF token 儘管 Symfony 表單預設自動提供 CSRF 保護，但您可能需要手動生成和檢查 CSRF token，例如在使用不受 Symfony 表單組件管理的常規 HTML 表單時。考慮創建一個允許刪除項目的 HTML 表單。首先，使用 ```csrf_token() ```Twig 函數在模板中生成 CSRF token並將其存儲為隱藏表單field： ```php= <form action="{{ url('admin_post_delete', { id: post.id }) }}" method="post"> {# the argument of csrf_token() is an arbitrary string used to generate the token #} <input type="hidden" name="token" value="{{ csrf_token('delete-item') }}"/> <button type="submit">Delete item</button> </form> ``` 然後，獲取控制器action中CSRF token的值，並使用 ```isCsrfTokenValid()```方法檢查其有效性： ```php= use Symfony\Component\HttpFoundation\Request; use Symfony\Component\HttpFoundation\Response; // ... public function delete(Request $request): Response { $submittedToken = $request->request->get('token'); // 'delete-item' is the same value used in the template to generate the token if ($this->isCsrfTokenValid('delete-item', $submittedToken)) { // ... do something, like deleting an object } } ``` ## CSRF token 和 Compression Side-Channel攻擊 [BREACH](https://en.wikipedia.org/wiki/BREACH)和[CRIME](https://zh.wikipedia.org/wiki/CRIME)是使用 HTTP compression時針對 HTTPS 的安全漏洞。攻擊者可以利用壓縮洩漏的信息來恢復明文的目標部分。為了減輕這些攻擊，並防止攻擊者猜測 CSRF token，隨機mask被添加到token並用於對其進行干擾。

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.