Красивая CSRF защита в Slim

CSRF‑атаки остаются одной из самых распространённых уязвимостей веб‑приложений. В этом материале мы разберём, как организовать аккуратную и удобную защиту от CSRF в Slim с помощью компонента Slim-Csrf, а также улучшим архитектуру и UX при работе с формами.

Что такое CSRF и почему это опасно

Cross-Site Request Forgery — это атака, при которой злоумышленник заставляет браузер пользователя выполнить нежелательный запрос от его имени. Без надлежащей проверки такие запросы могут приводить к смене паролей, отправке данных и другим критическим действиям.

Как CSRF работает в браузере

• Браузер автоматически отправляет куки при запросах к сайту.
• Злоумышленник создаёт страницу, содержащую скрытый запрос на ваш сервер.
• Если на сервере нет защиты, запрос выполняется как будто его сделал пользователь.

Компонент Slim-Csrf: основы

В Slim 3 CSRF‑защита реализуется с помощью middleware slimphp/Slim-Csrf. Он генерирует пару токенов — имя и значение — которые необходимо передавать в каждой POST‑форме.

Преимущества Slim-Csrf

• Автоматическая генерация токенов для каждого запроса.
• Гибкость интеграции в middleware‑цепочку.
• Минимальные изменения в HTML‑шаблонах.

Подключение Slim-Csrf к вашему приложению

Добавьте middleware в контейнер и подключите его к приложению. Примерный код:

$container['csrf'] = function ($c) {
    return new \Slim\Csrf\Guard;
};

$app->add($container->get('csrf'));

Передача токенов в шаблоны

Чтобы формы могли получать токены, добавьте их в рендерер или view‑слой:

$csrfNameKey = $request->getAttribute('csrf_name');
$csrfValueKey = $request->getAttribute('csrf_value');
$csrfName = $request->getAttribute($csrfNameKey);
$csrfValue = $request->getAttribute($csrfValueKey);

Пример вставки токенов в HTML‑форму

<input type="hidden" name="{{ csrf_name }}" value="{{ csrf_value }}">

Сделаем защиту красивее: улучшенная архитектура

Чтобы повторно не писать код вставки токенов, стоит создать вспомогательный хелпер или middleware, автоматически передающий токены в каждый шаблон.

Создание CSRF‑хелпера

• Генерация токенов в одном месте.
• Упрощение шаблонов форм.
• Удобство поддержки проекта.

Отладка и частые проблемы

CSRF‑проверка может ломаться из‑за устаревших токенов, отсутствующих полей или кэширования формы.

Как диагностировать ошибку

• Проверить, передаются ли оба токена (name + value).
• Убедиться, что middleware находится в правильной позиции.
• Отключить кэширование страницы, если используете CDN или reverse‑proxy.

Итоги

CSRF‑защита в Slim может быть не только надёжной, но и аккуратно встроенной. Используя Slim-Csrf и небольшие архитектурные улучшения, вы получите понятную, поддерживаемую и красивую систему безопасности форм.