Cara menggunakan perisian tengah untuk perlindungan Pemalsuan Permintaan Silang Tapak (CSRF) dalam Laravel

Dalam aplikasi web moden, serangan pemalsuan permintaan merentas tapak (CSRF) telah menjadi kaedah serangan biasa Laravel ialah rangka kerja PHP popular yang telah terbina dalam Mekanisme perlindungan CSRF, middleware boleh digunakan untuk menambah perlindungan CSRF pada aplikasi dengan mudah.

Artikel ini akan memperkenalkan cara menggunakan perisian tengah untuk perlindungan CSRF dalam Laravel dan memberikan contoh kod khusus.

Apakah itu serangan Pemalsuan Permintaan Silang Tapak (CSRF)?

Serangan Pemalsuan Permintaan Merentas Tapak, nama Inggeris ialah Pemalsuan Permintaan Merentas Tapak, dirujuk sebagai CSRF, ialah kaedah serangan yang memulakan permintaan berniat jahat dengan memalsukan identiti pengguna.

Penyerang biasanya melakukan serangan CSRF dengan memperdaya pengguna untuk mengklik pada halaman dengan pautan berniat jahat atau memasukkan skrip berniat jahat ke dalam laman web tempat mangsa telah log masuk. Apabila mangsa dilog masuk, penyerang memulakan satu siri permintaan berniat jahat (seperti menukar kata laluan, menghantar mesej, dsb.) Permintaan ini nampaknya sah kepada mangsa, tetapi sebenarnya permintaan ini dimulakan oleh penyerang akan menyebabkan kemudaratan tertentu kepada mangsa.

Bagaimana untuk menggunakan perisian tengah untuk perlindungan CSRF dalam Laravel?

Laravel menyediakan kami mekanisme yang sangat mudah untuk melindungi aplikasi daripada serangan CSRF. Rangka kerja Laravel mempunyai mekanisme perlindungan CSRF terbina dalam, yang boleh dilaksanakan melalui perisian tengah.

Dalam Laravel, kami menggunakan perisian tengah CSRF untuk menyemak sama ada token CSRF pada permintaan POST, PUT, DELETE adalah sah. Secara lalai, Laravel menambah perisian tengah VerifyCsrfToken pada aplikasi anda dan menyemak secara automatik sama ada token CSRF untuk permintaan ini sah. VerifyCsrfToken中间件，并自动检查这些请求的CSRF令牌是否有效。

如果CSRF令牌无效，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。我们也可以根据自己的需求自定义错误处理方式。

配置CSRF令牌

Laravel会在每个用户会话中为应用生成一个CSRF令牌，我们可以在应用config/csrf.php的配置文件中调整CSRF令牌的配置。该配置文件允许您配置CSRF COOKIE和CSRF令牌在请求中的名称。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中间件

Laravel中的VerifyCsrfToken中间件将检查在路由中定义的任何POST、PUT或DELETE请求上的CSRF令牌是否有效。默认情况下，应用的routes/web.php文件除了web中间件外，还会使用VerifyCsrfToken中间件。

可以在中间件组中添加CSRF中间件，以便在应用中的其他路由中使用。为了使用中间件保护路由，我们可以使用middleware方法将其添加到路由定义中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自定义CSRF错误处理

默认情况下，如果使用VerifyCsrfToken中间件检测到CSRF令牌不正确，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。

我们可以在app/Exceptions/Handler.php文件中尝试捕获CSRF异常并指定我们自己的错误处理方式。下面是一个自定义CSRF异常处理程序的示例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 处理CSRF异常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的代码中，我们捕获了TokenMismatchException异常，并使用with方法将错误消息保存到error闪存数据中。稍后，我们可以在视图中使用with方法访问这个闪存数据。

最后，我们可以在视图中为任何需要提交POST、PUT或DELETE请求的表单添加CSRF令牌字段。使用csrf_field方法即可在表单中生成CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

总结

在本文中，我们介绍了如何在Laravel中使用中间件保护应用免受CSRF攻击。我们通过配置CSRF令牌、使用默认的VerifyCsrfToken

Jika token CSRF tidak sah, Laravel akan membuang pengecualian TokenMismatchException dan memberikan paparan ralat lalai. Kami juga boleh menyesuaikan pengendalian ralat mengikut keperluan kami sendiri. #🎜🎜#

Konfigurasikan token CSRF

#🎜🎜#Laravel akan menjana token CSRF untuk aplikasi dalam setiap sesi pengguna, kita boleh menggunakannya dalam aplikasi config/csrf.phpLaraskan konfigurasi token CSRF dalam fail konfigurasi. Fail konfigurasi ini membolehkan anda mengkonfigurasi COOKIE CSRF dan nama token CSRF dalam permintaan. #🎜🎜#rrreee

Menggunakan perisian tengah CSRF

#🎜🎜#Perisian tengah VerifyCsrfToken dalam Laravel akan menyemak CSRF pada sebarang permintaan POST, PUT atau DELETE yang ditakrifkan dalam laluan Sama ada token adalah sah. Secara lalai, fail routes/web.php aplikasi juga akan menggunakan perisian tengah VerifyCsrfToken sebagai tambahan kepada perisian tengah web. #🎜🎜##🎜🎜#Anda boleh menambah perisian tengah CSRF dalam kumpulan perisian tengah untuk digunakan dalam laluan lain dalam aplikasi. Untuk melindungi laluan dengan middleware, kami boleh menambahkannya pada definisi laluan menggunakan kaedah middleware seperti berikut: #🎜🎜#rrreee

Pengendalian ralat CSRF tersuai

#🎜 🎜 #Secara lalai, jika token CSRF yang salah dikesan menggunakan perisian tengah VerifyCsrfToken, Laravel akan membuang pengecualian TokenMismatchException dan memberikan paparan ralat lalai. #🎜🎜##🎜🎜#Kami boleh cuba menangkap pengecualian CSRF dan menentukan pengendalian ralat kami sendiri dalam fail app/Exceptions/Handler.php. Berikut ialah contoh pengendali pengecualian CSRF tersuai: #🎜🎜#rrreee#🎜🎜# Dalam kod di atas, kami menangkap pengecualian TokenMismatchException dan menggunakan Kaedah with menyimpan mesej ralat kepada data kilat ralat. Kemudian, kita boleh mengakses data denyar ini dalam paparan menggunakan kaedah with. #🎜🎜##🎜🎜#Akhir sekali, kami boleh menambah medan token CSRF pada paparan untuk sebarang borang yang memerlukan penyerahan permintaan POST, PUT atau DELETE. Medan token CSRF boleh dijana dalam bentuk menggunakan kaedah csrf_field, seperti yang ditunjukkan di bawah: Cara menggunakan perisian tengah dalam Laravel untuk melindungi aplikasi anda daripada serangan CSRF. Kami telah meningkatkan keselamatan aplikasi dengan berkesan dengan mengkonfigurasi token CSRF, menggunakan perisian tengah VerifyCsrfToken lalai dan menyesuaikan kaedah pengendalian ralat CSRF. Saya percaya teknologi ini boleh membantu anda membina aplikasi web yang lebih selamat. #🎜🎜#

Atas ialah kandungan terperinci Cara menggunakan perisian tengah untuk perlindungan Pemalsuan Permintaan Silang Tapak (CSRF) dalam Laravel. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!