PHP `SameSite Cookie` 属性与 `CSRF` 缓解

各位观众，各位朋友，欢迎来到今天的“PHP SameSite Cookie 属性与 CSRF 缓解”专场脱口秀…不对，是技术讲座！

今天咱们要聊聊一个看似不起眼，但实际上关乎网站安全的大问题——SameSite Cookie 属性，以及它在抵御 CSRF 攻击中的作用。准备好了吗？咱们这就开始！

开场白：Cookie 的爱恨情仇

Cookie 这玩意儿，就像一把双刃剑。一方面，它让网站记住你的登录状态，个性化你的浏览体验，简直是互联网冲浪的贴心小棉袄。另一方面，它也可能成为黑客攻击的突破口，让你的账号被盗，隐私泄露，简直是噩梦般的定时炸弹。

为什么这么说呢？因为 Cookie 天生就存在一些安全漏洞，而 CSRF (Cross-Site Request Forgery，跨站请求伪造) 攻击就是利用这些漏洞的典型代表。

什么是 CSRF 攻击？

想象一下，你登录了某银行网站，并成功转账了一笔钱。这时，你又打开了一个恶意网站（比如，一个看起来很正常的论坛帖子）。这个恶意网站偷偷地向银行网站发送一个转账请求，金额是……你懂的。由于你的浏览器已经存储了银行网站的 Cookie，这个恶意请求就可以冒充你的身份，完成转账操作。

这就是 CSRF 攻击！它就像一个间谍，利用你的信任，偷偷地帮你“做”一些你不想做的事情。

SameSite Cookie 属性：横空出世的救星

为了解决 CSRF 攻击，SameSite Cookie 属性应运而生。它可以告诉浏览器，哪些 Cookie 只能在同站点请求中使用，哪些 Cookie 可以跨站点使用。这就像给 Cookie 穿上了一件隐形盔甲，让它免受跨站攻击的威胁。

SameSite 属性有三个可选值：

• Strict: 这种模式最严格。只有当请求的 URL 与 Cookie 的域名完全一致时，Cookie 才会被发送。这意味着，即使是同域名的子域名发起的请求，也无法携带 Cookie。它就像一个忠诚的卫士，只允许自己人访问。

• Lax: 这种模式相对宽松。除了 Strict 模式的限制外，Lax 模式允许在以下情况下发送 Cookie：

  • GET 请求，且属于 top-level navigation（顶级导航）。简单来说，就是用户直接点击链接或者在地址栏输入 URL 发起的请求。

  Lax 模式就像一个有原则的保安，只允许某些特定的跨站请求携带 Cookie。

• None: 这种模式最宽松。Cookie 可以跨站点发送，没有任何限制。但是，如果要使用 None 模式，必须同时设置 Secure 属性，告诉浏览器 Cookie 只能通过 HTTPS 连接发送。否则，浏览器会拒绝设置 Cookie。None 模式就像一个不设防的城市，任何人都可以自由出入，但前提是必须遵守交通规则（HTTPS）。

代码示例：设置 SameSite Cookie

在 PHP 中，可以使用 setcookie() 函数或者 session_set_cookie_params() 函数来设置 SameSite Cookie 属性。

• 使用 setcookie() 函数:

  <?php
  // 设置一个 SameSite=Strict 的 Cookie
  setcookie('my_cookie', 'my_value', [
      'samesite' => 'Strict',
      'secure' => true, // 建议在生产环境中开启
      'httponly' => true, // 建议开启
      'path' => '/',
      'domain' => '.example.com' //根据你的实际域名设置
  ]);
  
  // 设置一个 SameSite=Lax 的 Cookie
  setcookie('another_cookie', 'another_value', [
      'samesite' => 'Lax',
      'secure' => true, // 建议在生产环境中开启
      'httponly' => true, // 建议开启
      'path' => '/',
      'domain' => '.example.com' //根据你的实际域名设置
  ]);
  
  // 设置一个 SameSite=None 的 Cookie (必须同时设置 Secure 属性)
  setcookie('third_cookie', 'third_value', [
      'samesite' => 'None',
      'secure' => true, // 必须开启
      'httponly' => true, // 建议开启
      'path' => '/',
      'domain' => '.example.com' //根据你的实际域名设置
  ]);
  ?>

• 使用 session_set_cookie_params() 函数:

  <?php
  // 设置 session Cookie 的 SameSite 属性
  session_set_cookie_params([
      'samesite' => 'Strict', // 或者 'Lax'，'None'
      'secure' => true, // 建议在生产环境中开启
      'httponly' => true // 建议开启
  ]);
  
  session_start();
  ?>

选择哪个 SameSite 值？

选择哪个 SameSite 值取决于你的应用场景。

• Strict: 适用于对安全性要求极高的场景，例如银行网站、支付平台等。但是，Strict 模式可能会影响用户体验，因为某些跨站请求可能无法携带 Cookie。例如，用户通过第三方网站的链接跳转到你的网站，如果你的会话 Cookie 设置为 Strict，用户可能需要重新登录。

• Lax: 适用于大多数场景。它在安全性和用户体验之间取得了平衡。Lax 模式可以防止大多数 CSRF 攻击，同时又允许某些跨站请求携带 Cookie。例如，用户通过搜索引擎的链接跳转到你的网站，Lax 模式允许携带会话 Cookie，用户无需重新登录。

• None: 只有在需要跨站点共享 Cookie 的情况下才使用。例如，你的网站需要与第三方服务进行集成，而第三方服务需要访问你的 Cookie。但是，使用 None 模式时，必须同时设置 Secure 属性，以确保 Cookie 只能通过 HTTPS 连接发送。而且要非常小心，确保第三方服务是可信的，否则可能会带来安全风险。

SameSite 属性与 CSRF Token：双剑合璧，天下无敌？

SameSite 属性可以有效地缓解 CSRF 攻击，但并不能完全杜绝。因为 SameSite 属性主要针对的是 GET 请求，对于 POST 请求，仍然存在被攻击的风险。

为了更全面地防御 CSRF 攻击，我们通常会将 SameSite 属性与 CSRF Token 结合使用。

CSRF Token 的原理：

1. 在服务器端生成一个随机的、唯一的 Token。
2. 将 Token 存储在 Session 中。
3. 将 Token 嵌入到 HTML 表单中。
4. 当用户提交表单时，将 Token 一起发送到服务器端。
5. 服务器端验证表单中的 Token 是否与 Session 中存储的 Token 一致。如果一致，则认为请求是合法的；否则，认为请求是 CSRF 攻击。

代码示例：使用 CSRF Token

<?php
session_start();

// 生成 CSRF Token
function generate_csrf_token() {
    return bin2hex(random_bytes(32));
}

// 验证 CSRF Token
function validate_csrf_token($token) {
    if (!isset($_SESSION['csrf_token'])) {
        return false;
    }
    return hash_equals($_SESSION['csrf_token'], $token);
}

// 初始化 CSRF Token
if (!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = generate_csrf_token();
}

// 处理表单提交
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_POST['csrf_token']) && validate_csrf_token($_POST['csrf_token'])) {
        // 处理合法的请求
        echo "请求合法！";
    } else {
        // 处理 CSRF 攻击
        echo "CSRF 攻击！";
    }
}

?>

<!DOCTYPE html>
<html>
<head>
    <title>CSRF Demo</title>
</head>
<body>
    <form method="post">
        <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
        <button type="submit">提交</button>
    </form>
</body>
</html>

SameSite + CSRF Token：最佳实践

将 SameSite 属性与 CSRF Token 结合使用，可以构建一个更安全的应用。

• 对于不需要跨站点共享的 Cookie，设置为 SameSite=Strict 或 SameSite=Lax。
• 对于需要跨站点共享的 Cookie，设置为 SameSite=None，并同时设置 Secure 属性。
• 在所有 POST 请求中，都使用 CSRF Token 进行验证。

兼容性问题：老版本浏览器的坑

需要注意的是，老版本的浏览器可能不支持 SameSite 属性。为了兼容这些浏览器，可以采取以下措施：

• 用户代理检测: 通过检测 User-Agent 字符串，判断浏览器是否支持 SameSite 属性。如果不支持，则不设置 SameSite 属性。
• 双重 Cookie 策略: 同时设置两个 Cookie，一个带有 SameSite 属性，一个不带。在服务器端，优先使用带有 SameSite 属性的 Cookie。

代码示例：用户代理检测

<?php
// 检测浏览器是否支持 SameSite 属性
function supports_samesite() {
    $userAgent = $_SERVER['HTTP_USER_AGENT'];
    // 这里可以添加更多浏览器的判断规则
    if (strpos($userAgent, 'Chrome/67') !== false ||
        strpos($userAgent, 'Firefox/60') !== false ||
        strpos($userAgent, 'Safari') !== false) {
        return true;
    }
    return false;
}

// 设置 Cookie
if (supports_samesite()) {
    setcookie('my_cookie', 'my_value', [
        'samesite' => 'Lax',
        'secure' => true,
        'httponly' => true
    ]);
} else {
    setcookie('my_cookie', 'my_value', [
        'secure' => true,
        'httponly' => true
    ]);
}
?>

总结：安全之路，永无止境

SameSite Cookie 属性是抵御 CSRF 攻击的一大利器，但并非万能药。为了构建一个更安全的应用，我们需要将 SameSite 属性与 CSRF Token 等其他安全措施结合使用。同时，也要关注浏览器的兼容性问题，确保所有用户都能安全地访问我们的网站。

记住，安全之路，永无止境！我们需要不断学习新的安全知识，才能更好地保护我们的网站和用户。

划重点 (表格版)

特性	描述
SameSite Cookie	一种 Cookie 属性，用于控制 Cookie 是否可以跨站点发送。
Strict	最严格的模式，只有同站点请求才能携带 Cookie。
Lax	相对宽松的模式，允许 GET 请求的顶级导航携带 Cookie。
None	最宽松的模式，允许跨站点请求携带 Cookie，但必须同时设置 Secure 属性。
CSRF 攻击	跨站请求伪造攻击，攻击者利用用户的登录状态，冒充用户发起恶意请求。
CSRF Token	一种防御 CSRF 攻击的机制，通过在表单中添加随机的 Token，验证请求的合法性。
兼容性	老版本浏览器可能不支持 SameSite 属性，需要进行兼容性处理。
最佳实践	将 SameSite 属性与 CSRF Token 结合使用，构建更安全的应用。

结束语：

好了，今天的讲座就到这里。希望大家能够对 SameSite Cookie 属性和 CSRF 缓解有更深入的了解。记住，安全不是一蹴而就的，需要我们持续学习和实践。感谢大家的收听！我们下期再见！

(鞠躬)