CSRF令牌不经时验证

I use Codeigniter/PHP. I use CSRF tokens (not the CI native version as I have my own form implementation) and from time to time the token is not validated.

The CSRF token is created once per session:

function create_csrf_token() //If needed, creates a session variable; returns a hash to use for CSRF protection
{
    $CI =& get_instance();
    if($CI->session->userdata('csrfToken')) //the token already exists: use its hash
    {
        $csrfHash = $CI->session->userdata('csrfToken');
    }
    else //no token yet: create session variable + set its hash
    {
        $csrfHash = base64_encode(hash('sha256', uniqid(serialize($_SERVER), true), true));
        $CI->session->set_userdata(array('csrfToken' => $csrfHash));            
    }
    return $csrfHash;
}

It is passed to the form without issues in the csrfToken hidden input field, with htmlspecialchars applied to it (using urlencode makes no difference):

echo '<input type="hidden" name="'.$this->name.'" value="'.htmlspecialchars($this->value).'">';

This field has a validation rule verify_csrf:

public function verify_csrf($token)
{
    $CI =& get_instance();
    if($CI->session->userdata('csrfToken') && $CI->session->userdata('csrfToken') == $token) return true;
    else
    {
        $this->set_message('verify_csrf', 'Invalid token');
        return false;
    }
}

This is where things get weird. Sometimes $token is not correct and looks like corrupted data. Here are a couple of examples:

Error:

Value in $CI->session->userdata('csrfToken'): 6cT3O0KTOk7cVlear71lU7KKFlGONt4rS2HjNoSVFRM= (correct)

Value in $token: 6cT O0KTOk7cVlear71lU7KKFlG (4th character changed and missing end of string)

No error:

Value in $CI->session->userdata('csrfToken'): AiAgGqqxTxuCxN7h5HHRtcJjmHJVMRksBYbq6Dx4Kv4=

Value in $token: AiAgGqqxTxuCxN7h5HHRtcJjmHJVMRksBYbq6Dx4Kv4=

Any idea? I have checked and rechecked, the CRSF token is correctly set everywhere except in $token in my validation callback. And it only happens for certain tokens...

EDIT: so it seems that the base64 encoding was causing the issue (why, I don't know). I have replaced

$csrfHash = base64_encode(hash('sha256', uniqid(serialize($_SERVER), true), true));

$csrfHash = random_string('sha1');

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dqg17080 2014-05-23 00:03
关注
This is just a wild guess, but could it be the combination of the Base64 encoding and submitting the form via HTTP POST, like described here:

POST Base64 encoded data in PHP

The solution could then be to urlencode() the token before posting?

EDIT: The solution turns out to be dropping the base64 encoding of the token in favor of a plain sha256-hash as a token. See comments below.

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(1条)

报告相同问题？

关注问题

CSRF令牌不经时验证 csrf php
2014-05-22 23:51

回答 2 已采纳 This is just a wild guess, but could it be the combination of the Base64 encoding and submitting t
CSRF令牌保护意义何在？ csrf php
2019-01-14 16:19

回答 2 已采纳 The CSRF token is random and unique per session. Hence, an attacker can get the value of this toke
从Golang Buffalo网络应用发送推文时，无法设置CSRF令牌 csrf
2019-04-12 12:17

回答 2 已采纳 After looking through the GoBuffalo docs, and in particular THIS part of the forms page, All i had
如何使用反 CSRF 令牌保护您的网站和 Web 应用程序
2023-09-15 09:54

zzhongcy的博客使用上述基本的反 CSRF 令牌，您可以在登录时在用户会话 cookie 中设置令牌，然后为每个表单验证相同的令牌。为了平衡安全性和可用性，您可以为您使用的每个表单生成单独的令牌。但现在假设您的站点使用简单的基于...
发布操作失败，并显示“ CSRF令牌验证失败”错误 csrf
2018-10-07 10:29

回答 1 已采纳 It worked! As mentioned by @gp, I had to copy all cookies instead of just setting header. I did be
Yii2 CSRF令牌时间段增加 csrf php
2018-04-02 12:24

回答 1 已采纳 You can use frontend and backend as different cookie and session Cookie Backend 'identityCookie'
使用表单数据添加laravel CSRF令牌 javascript laravel php
2016-11-29 13:26

回答 3 已采纳 You should add a field named - _token, instead of csrfToken like this: data.append( "_token", Lar
无法验证提供的CSRF令牌，因为找不到您的会话。
2020-05-20 20:16

qq_39009944的博客如果A项目开启了CSRF防护，上面的sessionid覆盖就会导致操作A项目会出现“无法验证提供的CSRF令牌，因为找不到您的会话。”这个异常，新版本的Spring Security 不会帮你捕获这个异常，所以你可能在控制台什么都看不...
CSRF令牌附加到请求 apache csrf php
2014-12-08 07:50

回答 1 已采纳 My hosting provider confirmed that it was an security rule on the server causing the issue and hel
Laravel csrf令牌与ajax POST请求不匹配 ajax jquery laravel php
2015-09-23 11:47

回答 11 已采纳 You have to add data in your ajax request. I hope so it will be work. data: { "_token": "
如果将csrf令牌放在隐藏输入中，则恶意网站不可能使用CURL php
2015-09-16 23:58

回答 1 已采纳 The CSRF ("cross-site request forgery") protection token must only be valid for a specific account
网页CSRF 令牌
2023-10-16 00:23

EvLast的博客网页 CSRF 令牌（Cross-Site Request Forgery Token），也称为同源检测令牌（Same-Origin Policy token），是一种用于防止 CSRF 攻击的机制。CSRF 攻击指的是攻击者利用用户已在某个网站上登录的身份，通过伪装合法...
csrf攻击不理解的地方？ csrf
2022-04-13 21:14

回答 3 已采纳这样的，比如你在 http://wwww.aaa.com 网站里面，你现在登录了假如，有一个修改密码的接口，需要传一个用户名和新密码就能修改，并且要向后端传cookie，cookie校验通过了就进
【Spring Security】认证&密码加密&Token令牌&CSRF的使用详解
2023-12-21 21:56

Java方文山的博客 Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道，但是通过这篇文章我相信你会有所了解有所收获！！！创建自定义MD5加密类并实现@Override//对密码进行 md5 加密@Override// 通过md5校验修改@Bean// ...
【CSRF】学习关于CSRF攻击和防范
2022-03-13 17:12

玖等了的博客关于CSRF攻击的相关信息，包括如何怎么发生，发生场景和如何防范
没有解决我的问题, 去提问

悬赏问题

¥15 公司的电脑，win10系统自带远程协助，访问家里个人电脑，提示出现内部错误，各种常规的设置都已经尝试，感觉公司对此功能进行了限制（我们是集团公司）
¥15 救！ENVI5.6深度学习初始化模型报错怎么办？
¥30 eclipse开启服务后，网页无法打开
¥30 雷达辐射源信号参考模型
¥15 html+css+js如何实现这样子的效果？
¥15 STM32单片机自主设计
¥15 如何在node.js中或者java中给wav格式的音频编码成sil格式呢
¥15 不小心不正规的开发公司导致不给我们y码，
¥15 我的代码无法在vc++中运行呀，错误很多
¥50 求一个win系统下运行的可自动抓取arm64架构deb安装包和其依赖包的软件。

CSRF令牌不经时验证

2条回答 默认 最新

悬赏问题

2条回答默认最新