>PHP 프레임워크 >Laravel >Laravel의 양식 위조 및 CSRF 보호

Laravel의 양식 위조 및 CSRF 보호

齐天大圣
齐天大圣원래의
2020-12-14 11:23:311660검색

우리는 현재 가장 인기 있는 API 디자인 사양이 RestFul API 디자인이라는 것을 알고 있습니다. Restful에는 get, post, put, patch, delete라는 5가지 일반적인 HTTP 메서드가 있습니다. html 형식을 사용하여 get 또는 post 메서드를 구성하는 것은 매우 쉽지만 다른 세 가지 메서드는 지원되지 않습니다. 하지만 라라벨에서는 폼 위조 기술을 통해 위에서 언급한 나머지 3가지 방법을 사용할 수 있습니다.

추천 튜토리얼: "laravel Framework"

준비 작업

먼저 준비 작업을 해야 합니다. 양식 경로와 양식을 허용하는 경로라는 두 가지 경로를 만들어야 합니다.

// 表单页
Route::get('form', function () {
    return view('form');
});

// 接受表单请求
Route::any('getform', function () {
    return \Illuminate\Support\Facades\Request::method();
});

처음에는 가장 간단한 get 요청 양식을 만들었으며 내용은 다음과 같습니다.

<form method="get" action="/getform">
    <input type="submit" value="sub" />
</form>

제출 버튼을 클릭하면 브라우저에 'GET'이 표시되어 get 요청이 성공적으로 전송되고 수락되었음을 나타냅니다.

CSRF protection

그런 다음 게시 방법으로 변경한 다음 새로 고침하고 제출 버튼을 클릭하여 어떤 일이 일어나는지 확인합니다. "페이지 만료됨" 및 상태 코드 419 오류가 표시됩니다. Laravel이 게시 요청을 수락할 수 없는 이유는 무엇입니까? 여기에서는 laravel의 기본 CSRF 보호 메커니즘을 소개합니다.

Laravel은 사이트 간 요청 위조 공격을 방지하기 위해 CSRF 토큰 보호 기능을 제공합니다. 따라서 get 메소드 요청을 제외한 모든 메소드에 대해 다음과 같이 CSRF 토큰을 양식에 추가해야 합니다.

<input type="hidden" name="_token" value="{{csrf_token()}}">

또한 약어가 있습니다. 방법은 다음과 같습니다:

@csrf

CSRF 보호 기능 끄기

전체 사이트의 CSRF 기능을 끄는 것은 일반적으로 권장되지 않습니다. 끄는 것은 매우 간단합니다.

를 주석 처리하면 됩니다. Kernel.php 파일의
\App\Http\Middleware\VerifyCsrfToken::class

라인.

CSRF 화이트리스트

제3자가 제공하는 API 인터페이스와 같이 CSRF 보호가 필요하지 않은 URL 세트를 설정해야 하는 경우가 많습니다. 모든 외부 API 인터페이스에는 CSRF 보호가 필요하지 않기를 바랍니다. 그런 다음 CSRF 화이트리스트 기능을 사용하여 app/Http/Middleware/VerifyCsrfToken.php 파일에 화이트리스트를 설정할 수 있습니다.

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        /* 这里是白名单列表 */
        &#39;http://example.com/api/*&#39;,
        &#39;api/*&#39;,
        &#39;a/b/*&#39;
    ];
}

참고: 테스트 편의를 위해 환경 테스트 시 csrf 기능이 자동으로 꺼집니다.

Form Forgery

CSRF 보호 메커니즘을 학습한 후 다음을 살펴보겠습니다. 양식 위조를 수행하는 방법. 양식을 위조하는 것은 매우 쉽습니다.

<input type="hidden" name="_method" value="PUT">

를 추가하거나

@method(&#39;PUT&#39;)

로 축약하면 됩니다. 다음은 Put 요청을 위조하는 양식입니다

@csrf @method(&#39;PUT&#39;)

위 내용은 Laravel의 양식 위조 및 CSRF 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.