如何解决Slim应用中的CSRF攻击？使用slim/csrf中间件轻松实现安全防护-composer-PHP中文网

如何解决Slim应用中的CSRF攻击？使用slim/csrf中间件轻松实现安全防护

王林

发布： 2025-09-03 12:46:15

原创

820人浏览过

Composer在线学习地址：学习地址

遭遇困境：看不见的威胁——CSRF攻击

想象一下，你正在开发一个重要的在线银行系统。用户可以登录、查看余额、发起转账。一切看起来都很顺利，直到有一天，安全审计报告指出你的应用存在csrf漏洞。

CSRF攻击，简单来说，就是攻击者诱导用户点击一个恶意链接或访问一个恶意网站。当用户登录你的银行系统后，浏览器会保留其会话信息（如Cookie）。如果用户在未登出的情况下访问了攻击者的网站，攻击者就可以利用用户浏览器中存储的会话凭证，伪造一个请求（例如转账请求），发送到你的银行系统。由于请求看起来是来自已登录的用户，系统可能会误以为是合法操作并执行。这无疑是灾难性的！

手动实现CSRF防护，意味着你需要在每个可能被攻击的“不安全”请求（如POST, PUT, DELETE, PATCH）中：

生成一个唯一的、不可预测的令牌（Token）。
将令牌存储在服务器端（通常是Session中）。
将令牌嵌入到客户端的表单或请求头中。
在接收到请求时，从请求中提取令牌。
将提取到的令牌与服务器端存储的令牌进行比对。
如果令牌不匹配，则拒绝请求并返回错误。
确保令牌在每次请求后更新或在会话期间保持有效性。

这个过程不仅繁琐，而且任何一个环节的疏忽都可能导致防护失效。作为开发者，我们更希望有现成的、经过验证的解决方案来减轻这种负担。

救星登场：

slim/csrf

登录后复制

——Slim 4的CSRF防护利器

幸运的是，对于使用Slim 4框架的开发者来说，

slim/csrf

登录后复制

这个Composer包正是解决上述困境的完美答案。它提供了一个符合PSR-15标准的中间件，能够优雅地为你的Slim应用提供强大的CSRF防护。

slim/csrf

登录后复制

的核心优势在于：

PSR-15 中间件： 易于集成到任何符合PSR-7/PSR-15标准的Slim 4应用中。
自动化防护： 自动为所有不安全的HTTP请求（POST, PUT, DELETE, PATCH）提供CSRF保护。
灵活的配置： 可以全局应用，也可以针对特定路由启用。
可定制的失败处理： 当CSRF验证失败时，你可以自定义响应逻辑。
会话持久化支持： 支持在整个用户会话期间使用单个令牌，简化AJAX请求处理。

如何使用Composer和

slim/csrf

登录后复制

解决问题

1. 安装

slim/csrf

登录后复制

使用Composer安装非常简单，只需一行命令：

<pre class="brush:php;toolbar:false;">composer require slim/csrf

登录后复制

请注意，

slim/csrf

登录后复制

要求Slim 4.0.0或更高版本。

2. 在Slim应用中集成

slim/csrf

登录后复制

作为一个中间件，可以灵活地应用到你的Slim应用中。

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

查看详情

场景一：全局启用CSRF保护（推荐）

在你的

public/index.php

登录后复制

（或应用入口文件）中，首先确保启动了PHP会话，因为CSRF令牌默认存储在会话中。然后，通过依赖注入容器注册并添加中间件：

<pre class="brush:php;toolbar:false;">use DI\Container;
use Slim\Csrf\Guard;
use Slim\Factory\AppFactory;

require __DIR__ . '/vendor/autoload.php';

// 1. 启动PHP会话，这是CSRF防护的基础
session_start();

// 2. 创建依赖注入容器
$container = new Container();
AppFactory::setContainer($container);

// 3. 创建Slim应用实例
$app = AppFactory::create();
$responseFactory = $app->getResponseFactory();

// 4. 在容器中注册CSRF防护卫士
$container->set('csrf', function () use ($responseFactory) {
    // 默认情况下，每次请求后会生成新的令牌。
    // 如果需要会话期间持久化令牌（例如为了方便AJAX），可以传入 true 作为第六个参数：
    // return new Guard($responseFactory, null, null, null, null, true);
    return new Guard($responseFactory);
});

// 5. 将CSRF中间件添加到所有路由
$app->add('csrf');

// 示例路由：GET请求用于渲染表单，POST请求用于处理数据
$app->get('/form', function ($request, $response, $args) {
    $csrf = $this->get('csrf'); // 从容器中获取CSRF卫士实例
    $nameKey = $csrf->getTokenNameKey(); // 获取CSRF令牌名称的键名
    $valueKey = $csrf->getTokenValueKey(); // 获取CSRF令牌值的键名
    $name = $request->getAttribute($nameKey); // 从请求属性中获取令牌名称
    $value = $request->getAttribute($valueKey); // 从请求属性中获取令牌值

    // 假设你有一个模板引擎，需要将令牌传递给前端表单
    // 实际应用中，这里会渲染一个包含隐藏域的HTML表单
    $html = <<<HTML
    <!DOCTYPE html>
    <html>
    <head><title>CSRF Form</title></head>
    <body>
        <h1>提交数据</h1>
        <form action="/submit" method="POST">
            <input type="text" name="data" placeholder="输入一些数据">
            <!-- 关键：将CSRF令牌作为隐藏域添加到表单中 -->
            <input type="hidden" name="{$nameKey}" value="{$name}">
            <input type="hidden" name="{$valueKey}" value="{$value}">
            <button type="submit">提交</button>
        </form>
    </body>
    </html>
    HTML;
    $response->getBody()->write($html);
    return $response;
});

$app->post('/submit', function ($request, $response, $args) {
    // 如果请求能到达这里，说明CSRF验证已经成功通过
    $data = $request->getParsedBody()['data'] ?? '无数据';
    $response->getBody()->write("数据已安全提交: " . htmlspecialchars($data));
    return $response;
});

$app->run();

登录后复制

场景二：针对特定路由启用CSRF保护

如果你只需要保护应用中的一部分路由，可以这样操作：

<pre class="brush:php;toolbar:false;">// ... (前面的session_start(), Container, AppFactory, App实例创建保持不变)

// 注册CSRF卫士到容器
$container->set('csrf', function () use ($responseFactory) {
    return new Guard($responseFactory);
});

$app->get('/api/token', function ($request, $response, $args) {
    $csrf = $this->get('csrf');
    $nameKey = $csrf->getTokenNameKey();
    $valueKey = $csrf->getTokenValueKey();
    $name = $request->getAttribute($nameKey);
    $value = $request->getAttribute($valueKey);

    $tokenArray = [
        $nameKey => $name,
        $valueKey => $value
    ];

    // 返回CSRF令牌，供前端AJAX请求使用
    return $response->withJson($tokenArray);
})->add('csrf'); // 只对这个GET请求应用CSRF中间件

$app->post('/api/secure-action', function ($request, $response, $args) {
    // 如果请求能到达这里，表示CSRF验证通过，可以安全地执行操作
    return $response->withJson(['status' => 'success', 'message' => '安全操作已执行！']);
})->add('csrf'); // 只对这个POST请求应用CSRF中间件

$app->run();

登录后复制

3. 处理CSRF验证失败

默认情况下，如果CSRF验证失败，

slim/csrf

登录后复制

会返回一个状态码为400的响应和简单的纯文本错误信息。为了提供更好的用户体验或进行日志记录，你可以自定义失败处理器：

<pre class="brush:php;toolbar:false;">use Psr\Http\Message\ServerRequestInterface;
use Psr\Http\Server\RequestHandlerInterface;
use Slim\Csrf\Guard;
use Slim\Psr7\Factory\ResponseFactory; // 确保导入

$responseFactory = new ResponseFactory();
$guard = new Guard($responseFactory);

$guard->setFailureHandler(function (ServerRequestInterface $request, RequestHandlerInterface $handler) {
    // 在请求属性中设置一个标志，表示CSRF验证失败
    $request = $request->withAttribute("csrf_status", false);

    // 你也可以直接返回一个自定义的错误响应，例如JSON错误信息
    // $response = (new ResponseFactory())->createResponse(403); // 403 Forbidden
    // $response->getBody()->write(json_encode(['error' => 'CSRF Token Invalid!']));
    // return $response->withHeader('Content-Type', 'application/json');

    // 或者，让请求继续传递，在后续的中间件或路由中处理这个属性
    return $handler->handle($request);
});

// 然后在你的路由或后续中间件中检查这个属性：
// $app->post('/submit', function ($request, $response, $args) {
//     if (false === $request->getAttribute('csrf_status')) {
//         // CSRF验证失败，执行相应处理，例如重定向到错误页面或返回错误信息
//         return $response->withStatus(403)->getBody()->write('CSRF验证失败，请重试！');
//     }
//     // CSRF验证成功，继续处理业务逻辑
//     // ...
// })->add($guard); // 将自定义了失败处理器的Guard实例作为中间件添加

登录后复制

优势与实际应用效果

使用

slim/csrf

登录后复制

后，我们的Slim应用在安全性方面得到了显著提升，同时也带来了诸多便利：

安全性大幅增强： 自动防护了所有不安全的HTTP请求，有效抵御了CSRF攻击，降低了用户数据被篡改或执行恶意操作的风险。
开发效率提升： 开发者无需手动编写复杂的CSRF令牌生成、存储和验证逻辑，只需几行代码即可集成，将精力集中在核心业务功能的实现上。
代码简洁易维护： CSRF防护逻辑被封装在中间件中，代码结构清晰，易于理解和维护。当安全策略需要调整时，也只需修改中间件的配置。
灵活适应各种场景： 无论是传统的表单提交，还是现代的AJAX请求（通过获取令牌并添加到请求头或请求体），
```
slim/csrf
```
登录后复制
都能提供可靠的保护。
更好的用户体验（通过定制失败处理）： 我们可以自定义CSRF验证失败时的响应，而不是简单地抛出错误，可以引导用户刷新页面或重新登录，提升用户体验。