csrf攻击在laravel中的解决方法

2022-08-01 0 994

解决方法:1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败;2、提供了一个全局帮助函数“csrf_token”来获取Token值,只需在视图提交表单中添加token代码即可,语法为“<…value= php="" echo="">”。

csrf攻击在laravel中的解决方法

本文操作环境:Windows10系统、Laravel9版、Dell G3电脑。

csrf攻击在laravel中的解决方法

CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写;

Laravel框架中避免CSRF攻击很简单:

1、Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。)

2、 Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证
1、创建两个路由,一个用于展示表单(get),另外处理请求(post)

Route::get('test6','Home\\TestController@test6');Route::post('test7','Home\\TestController@test7');

2、创建需要的方法

 public function test6(){        return view('home.test.test6');     }     public function test7()     {         return "请求提交成功";     }

3、创建需要的简易表单

csrf攻击在laravel中的解决方法

4、提交效果(报错页面)

csrf攻击在laravel中的解决方法

结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的。

5、解决报错问题(如何通过csrf验证)
解决思路:带上csrf需要token值,随着请求传递给后续的方法

<form action="/home/test/test7" method="post">    用户名:<input type="text" name="username"><br>    <input type="hidden" name="_token" value="{{csrf_token()}}">    {{csrf_field()}}    <input type="submit" value="提交"></form>

针对csrf_token方法的简化:{{csrf_field()}}

具体的表现形式:

csrf攻击在laravel中的解决方法

两者的区别:
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

通过编写配置设置例外:
单个路由排除写法

 'home.test.test6',

多个元素之间通过“,”分割,遵循数组写法。

'home.test.test6','home.test.test7'

如果需要排除全部路由使用csrf的话,则可以写成:

'*'

【相关推荐:laravel视频教程】

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

【声明:根据2013年1月30日《计算机软件保护条例》2次修订第17条规定: 为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存 储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬! 鉴于此,也希望大家按此说明研究软件!】
本站所有源码尽量保证原汁原味,如有特殊情况会作出声明及标注,网站资源不做任何二次加密(原版加密除外,不影响程序使用的不会做解密处理),方便您更好的学习参考。 在您的能力范围内,为了大环境的良性发展,请尽可能的选择正版资源。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

即刻码站__国内靠谱的站长资源下载平台 php教程 csrf攻击在laravel中的解决方法 https://www.jike1995.com/38275.html

常见问题
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度
查看详情

相关文章

发表评论
暂无评论
官方客服团队

为您解决烦忧 - 24小时在线 专业服务