Comment utiliser un middleware pour la protection contre la contrefaçon de requêtes intersites (CSRF) dans Laravel

Dans les applications Web modernes, les attaques de falsification de requêtes intersites (CSRF) sont devenues une méthode d'attaque courante. Laravel est un framework PHP populaire avec un mécanisme de protection CSRF intégré. Il peut être très pratique d'utiliser un middleware Ajouter CSRF. protection de l'application.

Cet article expliquera comment utiliser le middleware pour la protection CSRF dans Laravel et fournira des exemples de code spécifiques.

Qu'est-ce qu'une attaque Cross-Site Request Forgery (CSRF) ?

L'attaque Cross-Site Request Forgery, également connue sous le nom de Cross-Site Request Forgery en anglais, ou CSRF en abrégé, est une méthode d'attaque qui lance des requêtes malveillantes en falsifiant l'identité des utilisateurs.

Les attaquants mettent généralement en œuvre des attaques CSRF en incitant les utilisateurs à cliquer sur des pages contenant des liens malveillants ou en insérant des scripts malveillants dans des sites Web auxquels la victime s'est connectée. Lorsque la victime est connectée, l'attaquant lance une série de requêtes malveillantes (telles que la modification des mots de passe, la publication de messages, etc.). Ces requêtes semblent légitimes à la victime, mais en fait, ces requêtes sont initiées par l'attaquant. causera un certain préjudice à la victime.

Comment utiliser le middleware pour la protection CSRF dans Laravel ?

Laravel nous fournit un mécanisme très pratique pour protéger les applications contre les attaques CSRF. Le framework Laravel dispose d'un mécanisme de protection CSRF intégré, qui peut être implémenté via un middleware.

Dans Laravel, nous utilisons le middleware CSRF pour vérifier si le jeton CSRF sur les requêtes POST, PUT, DELETE est valide. Par défaut, Laravel ajoute le middleware VerifyCsrfToken à votre application et vérifie automatiquement si le jeton CSRF pour ces requêtes est valide. VerifyCsrfToken中间件，并自动检查这些请求的CSRF令牌是否有效。

如果CSRF令牌无效，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。我们也可以根据自己的需求自定义错误处理方式。

配置CSRF令牌

Laravel会在每个用户会话中为应用生成一个CSRF令牌，我们可以在应用config/csrf.php的配置文件中调整CSRF令牌的配置。该配置文件允许您配置CSRF COOKIE和CSRF令牌在请求中的名称。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中间件

Laravel中的VerifyCsrfToken中间件将检查在路由中定义的任何POST、PUT或DELETE请求上的CSRF令牌是否有效。默认情况下，应用的routes/web.php文件除了web中间件外，还会使用VerifyCsrfToken中间件。

可以在中间件组中添加CSRF中间件，以便在应用中的其他路由中使用。为了使用中间件保护路由，我们可以使用middleware方法将其添加到路由定义中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自定义CSRF错误处理

默认情况下，如果使用VerifyCsrfToken中间件检测到CSRF令牌不正确，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。

我们可以在app/Exceptions/Handler.php文件中尝试捕获CSRF异常并指定我们自己的错误处理方式。下面是一个自定义CSRF异常处理程序的示例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 处理CSRF异常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的代码中，我们捕获了TokenMismatchException异常，并使用with方法将错误消息保存到error闪存数据中。稍后，我们可以在视图中使用with方法访问这个闪存数据。

最后，我们可以在视图中为任何需要提交POST、PUT或DELETE请求的表单添加CSRF令牌字段。使用csrf_field方法即可在表单中生成CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

总结

在本文中，我们介绍了如何在Laravel中使用中间件保护应用免受CSRF攻击。我们通过配置CSRF令牌、使用默认的VerifyCsrfToken

Si le jeton CSRF n'est pas valide, Laravel lancera une exception TokenMismatchException et fournira une vue d'erreur par défaut. Nous pouvons également personnaliser la gestion des erreurs en fonction de nos propres besoins. 🎜

Configurer le jeton CSRF

🎜Laravel générera un jeton CSRF pour l'application à chaque session utilisateur, que nous pourrons ajuster dans le fichier de configuration de l'application config/csrf.php Configuration de jeton CSRF. Ce fichier de configuration permet de configurer le COOKIE CSRF et le nom du token CSRF dans la requête. 🎜rrreee

Utilisation du middleware CSRF

🎜Le middleware VerifyCsrfToken de Laravel vérifiera si le jeton CSRF est valide sur toute requête POST, PUT ou DELETE définie dans la route. Par défaut, le fichier routes/web.php de l'application utilisera également le middleware VerifyCsrfToken en plus du middleware web. 🎜🎜 Le middleware CSRF peut être ajouté au groupe middleware pour être utilisé dans d'autres routes de l'application. Afin de protéger une route avec un middleware, nous pouvons l'ajouter à la définition de la route en utilisant la méthode middleware comme suit : 🎜rrreee

Gestion personnalisée des erreurs CSRF

🎜Par défaut, si un Un jeton CSRF incorrect est détecté à l'aide du middleware VerifyCsrfToken, Laravel lancera une exception TokenMismatchException et fournira une vue d'erreur par défaut. 🎜🎜Nous pouvons essayer de détecter les exceptions CSRF et spécifier notre propre gestion des erreurs dans le fichier app/Exceptions/Handler.php. Voici un exemple de gestionnaire d'exceptions CSRF personnalisé : 🎜rrreee🎜 Dans le code ci-dessus, nous captons l'exception TokenMismatchException et utilisons la méthode with pour enregistrer le message d'erreur dans erreur dans les données de la mémoire flash. Plus tard, nous pourrons accéder à ces données flash dans la vue en utilisant la méthode with. 🎜🎜Enfin, nous pouvons ajouter un champ de jeton CSRF à la vue pour tout formulaire devant soumettre une requête POST, PUT ou DELETE. Vous pouvez générer un champ de jeton CSRF dans votre formulaire en utilisant la méthode csrf_field comme indiqué ci-dessous : 🎜rrreee🎜 Résumé 🎜🎜 Dans cet article, nous avons expliqué comment protéger votre application contre CSRF à l'aide d'un middleware dans l'attaque Laravel. Nous avons amélioré efficacement la sécurité des applications en configurant les jetons CSRF, en utilisant le middleware par défaut VerifyCsrfToken et en personnalisant les méthodes de gestion des erreurs CSRF. Je pense que ces technologies peuvent vous aider à créer des applications Web plus sécurisées. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!