Ist es sicher, das CSRF-Token auf derselben Seite wie das gesicherte Formular zu generieren?

Question

Im Moment habe ich diese 2 Funktionen, ein für Token zu erzeugen und eine für die Prüfung der Gültigkeit:

function getToken() { 
    if(isset($_SESSION['token'])) { 
     return $_SESSION['token']; 
    } else { 
     $token = //random key generator goes here; 
     $_SESSION['token'] = $token; 
     return $token; 
    } 
} 

function validateToken($token) { 
    if ($token == getToken()){ 
     return true; 
    } else { 
     return false; 
    } 
} 

Und mein Anmeldeformular enthält diesen versteckten Eingang:

<input type="hidden" name="token" value="<?php echo getToken(); ?>"> 

dies sicher ist? Ich frage, weil, was, wenn Sitzung des legitimen Benutzers abläuft und sie CSRF'd zu diesem Registerformular erhalten und Token wird durch die schädliche Site/iframe selbst erzeugt, weil man nicht bereits in der Sitzung existierte, also gerade gut authentisieren?

Angenommen, der Benutzer bleibt wegen Cookies angemeldet.

Versteh ich die Dinge hier falsch? Kann Remote-Linking wie Iframes keine Sitzungen in Ihrem Backend generieren?

Answer 1

Nein. Soweit ich das beurteilen kann, machen Sie es richtig, da der Token generiert werden sollte, sobald der Benutzer auf die Formularseite kommt. Dann generieren Sie es, um sicher zu sein, dass jemand (echter Benutzer) Ihr Formular tatsächlich besucht hat und Sie dann das Token für sie setzen.

Wenn sie eine Aktion mit dem Formular ausführen, überprüfen Sie mit dem Token, ob das Token für diesen Benutzer gültig ist. Also, ich denke du machst es richtig.

Eine Sache, generieren Sie das Token und speichern Sie es in Sitzung, wenn ein Benutzer anfordert/kommt auf die Formularseite. Es wäre besser, wenn Sie es jedes Mal generieren, wenn eine Anfrage kommt. Löschen Sie dann nach jeder erfolgreichen Formularübergabe das markierte Token aus der Sitzung.