" です。"/> " です。">
検索
ホームページPHPフレームワークLaravelLaravelでのcsrf攻撃の解決策
Laravelでのcsrf攻撃の解決策
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Jun 21, 2022 pm 04:07 PM
laravel

解決策: 1. Laravel を使用して、ユーザー セッションごとに「CSRF トークン」を自動的に生成します。このトークンは、ログインしているユーザーとリクエストを開始したユーザーが同一人物であるかどうかを確認するために使用できます。そうでない場合、リクエストは失敗します。 2 、トークン値を取得するためのグローバル ヘルパー関数 "csrf_token" が提供されます。ビュー送信フォームにトークン コードを追加するだけです。構文は "<...value php="" echo>"。

Laravelでのcsrf攻撃の解決策

この記事の動作環境: Windows 10 システム、Laravel バージョン 9、Dell G3 コンピューター。

laravel における csrf 攻撃の解決策

CSRF は、Cross-site request forgery の英語の略語です;

Laravel フレームワークで CSRF 攻撃を回避することは非常に困難です。

1. Laravel はユーザー セッションごとに CSRF トークンを自動的に生成します。このトークンは、ログインしているユーザーとリクエスターが同一人物であるかどうかを確認するために使用できます。そうでない場合、リクエストは失敗します。 (原理は検証コードと同じです。)

2. Laravel はトークン値を取得するためのグローバル ヘルパー関数 csrf_token を提供しているため、次の HTML コードをビュー送信フォームに追加するだけで済みます。トークン: 

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel で CSRF 攻撃を回避する方法

ケース: ケースを通じて csrf メカニズムの検証を実装する
1. 2 つのルートを作成します。 1 つは表示フォーム (get) 用、もう 1 つはリクエストの処理 (post) です

Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

2. 必要なメソッドを作成します

	 public function test6(){
        return view('home.test.test6');
     }
     public function test7()
     {
         return "请求提交成功";
     }

3. 必要な単純なフォームを作成します

Laravelでのcsrf攻撃の解決策

4. 提出の効果 (エラーページ)

Laravelでのcsrf攻撃の解決策

結論: 先ほどのケースを通して、laravel の csrf 検証メカニズムがデフォルトで有効になっていることがわかります。 。

5. エラー問題を解決する (csrf 検証に合格する方法)
解決策: csrf に必要なトークン値を取得し、それをリクエストで後続のメソッドに渡します 




    用户名:

    
    {{csrf_field()}}
    



簡略化csrf_token メソッドの : {{csrf_field()}}


特定の式: 


Laravelでのcsrf攻撃の解決策


2 つの違い: 
 Csrf_token のみトークンの値を出力します。 
 Csrf_field は、入力された隠しフィールド全体を出力します。 


 後で使用する場合の選択方法: ほとんどの場合、状況に応じて選択できます。ただし、開発者に選択権がなく、csrf_token を使用しなければならない場合は、非同期フォーム送信メソッドが使用されます。 


CSRF 検証から例外ルーティングを除外する


データを取得するためのサードパーティ API へのリクエストなど、すべてのリクエストが CSRF 攻撃を回避する必要があるわけではありません。 
 例外を設定するには、除外するリクエスト URL を VerifyCsrfToken (app/Http/Middleware/VerifyCsrfToken.php) ミドルウェアの $excel プロパティ配列に追加します。 


 構成を記述して例外を設定します。 
 シングルルート除外の記述方法


 'home.test.test6',


複数の要素は「,」で区切って配列の記述方法に従います。 


'home.test.test6','home.test.test7'


 すべてのルートを除外して csrf を使用する必要がある場合は、次のように記述できます: 


'*'


[関連する推奨事項: laravel ビデオ チュートリアル ]
以上がLaravelでのcsrf攻撃の解決策の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
laravel单点登录方法详解laravel单点登录方法详解Jun 15, 2022 am	 11:45 AM
本篇文章给大家带来了关于laravel的相关知识,其中主要介绍了关于单点登录的相关问题,单点登录是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,下面一起来看一下,希望对大家有帮助。
一起来聊聊Laravel的生命周期一起来聊聊Laravel的生命周期Apr 25, 2022 pm	 12:04 PM
本篇文章给大家带来了关于laravel的相关知识,其中主要介绍了关于Laravel的生命周期相关问题,Laravel 的生命周期从public\index.php开始,从public\index.php结束,希望对大家有帮助。
laravel中guard是什么laravel中guard是什么Jun 02, 2022 pm	 05:54 PM
在laravel中,guard是一个用于用户认证的插件;guard的作用就是处理认证判断每一个请求,从数据库中读取数据和用户输入的对比,调用是否登录过或者允许通过的,并且Guard能非常灵活的构建一套自己的认证体系。
laravel中asset()方法怎么用laravel中asset()方法怎么用Jun 02, 2022 pm	 04:55 PM
laravel中asset()方法的用法:1、用于引入静态文件,语法为“src="{{asset(‘需要引入的文件路径’)}}"”;2、用于给当前请求的scheme前端资源生成一个url,语法为“$url = asset('前端资源')”。
实例详解laravel使用中间件记录用户请求日志实例详解laravel使用中间件记录用户请求日志Apr 26, 2022 am	 11:53 AM
本篇文章给大家带来了关于laravel的相关知识,其中主要介绍了关于使用中间件记录用户请求日志的相关问题,包括了创建中间件、注册中间件、记录用户访问等等内容,下面一起来看一下,希望对大家有帮助。
laravel中间件基础详解laravel中间件基础详解May 18, 2022 am	 11:46 AM
本篇文章给大家带来了关于laravel的相关知识,其中主要介绍了关于中间件的相关问题,包括了什么是中间件、自定义中间件等等,中间件为过滤进入应用的 HTTP 请求提供了一套便利的机制,下面一起来看一下,希望对大家有帮助。
laravel路由文件在哪个目录里laravel路由文件在哪个目录里Apr 28, 2022 pm	 01:07 PM
laravel路由文件在“routes”目录里。Laravel中所有的路由文件定义在routes目录下,它里面的内容会自动被框架加载;该目录下默认有四个路由文件用于给不同的入口使用:web.php、api.php、console.php等。
laravel的fill方法怎么用laravel的fill方法怎么用Jun 06, 2022 pm	 03:33 PM
在laravel中,fill方法是一个给Eloquent实例赋值属性的方法,该方法可以理解为用于过滤前端传输过来的与模型中对应的多余字段;当调用该方法时,会先去检测当前Model的状态,根据fillable数组的设置,Model会处于不同的状态。
See all articles
ホットAIツール
Undresser.AI Undress
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
Undress AI Tool
脱衣画像を無料で
Clothoff.io
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AI Hentai Generator
AIヘンタイを無料で生成します。
もっと見る
人気の記事
R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
3週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
3週間前By尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
1週間前ByDDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
3週間前By尊渡假赌尊渡假赌尊渡假赌
Atomfallのクレーンコントロールキーカードを見つける場所
1週間前ByDDD
もっと見る
ホットツール
SublimeText3 中国語版
SublimeText3 中国語版
中国語版、とても使いやすい
MinGW - Minimalist GNU for Windows
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
SAP NetWeaver Server Adapter for Eclipse
SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。
メモ帳++7.3.1
メモ帳++7.3.1
使いやすく無料のコードエディター
mPDF
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
もっと見る
ホットトピック
Gmailメールのログイン入り口はどこですか?
7416
15
CakePHP チュートリアル
1359
52
Steamのアカウント名の形式は何ですか
76
11
Win11 Activation Key Permanent
27
19
もっと見る