Rumah >rangka kerja php >Laravel >Cara menggunakan perisian tengah untuk perlindungan Pemalsuan Permintaan Silang Tapak (CSRF) dalam Laravel
Dalam aplikasi web moden, serangan pemalsuan permintaan merentas tapak (CSRF) telah menjadi kaedah serangan biasa Laravel ialah rangka kerja PHP popular yang telah terbina dalam Mekanisme perlindungan CSRF, middleware boleh digunakan untuk menambah perlindungan CSRF pada aplikasi dengan mudah.
Artikel ini akan memperkenalkan cara menggunakan perisian tengah untuk perlindungan CSRF dalam Laravel dan memberikan contoh kod khusus.
Serangan Pemalsuan Permintaan Merentas Tapak, nama Inggeris ialah Pemalsuan Permintaan Merentas Tapak, dirujuk sebagai CSRF, ialah kaedah serangan yang memulakan permintaan berniat jahat dengan memalsukan identiti pengguna.
Penyerang biasanya melakukan serangan CSRF dengan memperdaya pengguna untuk mengklik pada halaman dengan pautan berniat jahat atau memasukkan skrip berniat jahat ke dalam laman web tempat mangsa telah log masuk. Apabila mangsa dilog masuk, penyerang memulakan satu siri permintaan berniat jahat (seperti menukar kata laluan, menghantar mesej, dsb.) Permintaan ini nampaknya sah kepada mangsa, tetapi sebenarnya permintaan ini dimulakan oleh penyerang akan menyebabkan kemudaratan tertentu kepada mangsa.
Laravel menyediakan kami mekanisme yang sangat mudah untuk melindungi aplikasi daripada serangan CSRF. Rangka kerja Laravel mempunyai mekanisme perlindungan CSRF terbina dalam, yang boleh dilaksanakan melalui perisian tengah.
Dalam Laravel, kami menggunakan perisian tengah CSRF untuk menyemak sama ada token CSRF pada permintaan POST, PUT, DELETE adalah sah. Secara lalai, Laravel menambah perisian tengah VerifyCsrfToken
pada aplikasi anda dan menyemak secara automatik sama ada token CSRF untuk permintaan ini sah. VerifyCsrfToken
中间件,并自动检查这些请求的CSRF令牌是否有效。
如果CSRF令牌无效,Laravel将抛出一个TokenMismatchException
异常,并提供一个默认的错误视图。我们也可以根据自己的需求自定义错误处理方式。
Laravel会在每个用户会话中为应用生成一个CSRF令牌,我们可以在应用config/csrf.php
的配置文件中调整CSRF令牌的配置。该配置文件允许您配置CSRF COOKIE和CSRF令牌在请求中的名称。
<?php return [ /* |-------------------------------------------------------------------------- | CSRF Cookie Name |-------------------------------------------------------------------------- | | The name of the cookie used to store the CSRF token. | */ 'cookie' => 'XSRF-TOKEN', /* |-------------------------------------------------------------------------- | CSRF Header Name |-------------------------------------------------------------------------- | | The name of the CSRF header used to store the CSRF token. | */ 'header' => 'X-XSRF-TOKEN', /* |-------------------------------------------------------------------------- | CSRF Token Expiration |-------------------------------------------------------------------------- | | The number of minutes that the CSRF token should be considered valid. | */ 'expire' => 60, ];
Laravel中的VerifyCsrfToken
中间件将检查在路由中定义的任何POST、PUT或DELETE请求上的CSRF令牌是否有效。默认情况下,应用的routes/web.php
文件除了web
中间件外,还会使用VerifyCsrfToken
中间件。
可以在中间件组中添加CSRF中间件,以便在应用中的其他路由中使用。为了使用中间件保护路由,我们可以使用middleware
方法将其添加到路由定义中,如下所示:
Route::middleware(['web', 'csrf'])->group(function () { // });
默认情况下,如果使用VerifyCsrfToken
中间件检测到CSRF令牌不正确,Laravel将抛出一个TokenMismatchException
异常,并提供一个默认的错误视图。
我们可以在app/Exceptions/Handler.php
文件中尝试捕获CSRF异常并指定我们自己的错误处理方式。下面是一个自定义CSRF异常处理程序的示例:
<?php namespace AppExceptions; use Exception; use IlluminateFoundationExceptionsHandler as ExceptionHandler; use IlluminateSessionTokenMismatchException; class Handler extends ExceptionHandler { /** * A list of the exception types that should be reported. * * @var array */ protected $dontReport = [ TokenMismatchException::class, ]; /** * Report or log an exception. * * @param Exception $exception * @return void * * @throws Exception */ public function report(Exception $exception) { parent::report($exception); } /** * Render an exception into an HTTP response. * * @param IlluminateHttpRequest $request * @param Exception $exception * @return IlluminateHttpResponse * * @throws Exception */ public function render($request, Exception $exception) { if ($exception instanceof TokenMismatchException) { // 处理CSRF异常 return redirect() ->back() ->withInput($request->input()) ->with('error', 'CSRF Token Mismatch'); } return parent::render($request, $exception); } }
在上面的代码中,我们捕获了TokenMismatchException
异常,并使用with
方法将错误消息保存到error
闪存数据中。稍后,我们可以在视图中使用with
方法访问这个闪存数据。
最后,我们可以在视图中为任何需要提交POST、PUT或DELETE请求的表单添加CSRF令牌字段。使用csrf_field
方法即可在表单中生成CSRF令牌字段,如下所示:
<form method="POST" action="/example"> {{ csrf_field() }} <!-- Your form fields go here... --> <button type="submit">Submit</button> </form>
在本文中,我们介绍了如何在Laravel中使用中间件保护应用免受CSRF攻击。我们通过配置CSRF令牌、使用默认的VerifyCsrfToken
TokenMismatchException
dan memberikan paparan ralat lalai. Kami juga boleh menyesuaikan pengendalian ralat mengikut keperluan kami sendiri. #🎜🎜#config/csrf.php
Laraskan konfigurasi token CSRF dalam fail konfigurasi. Fail konfigurasi ini membolehkan anda mengkonfigurasi COOKIE CSRF dan nama token CSRF dalam permintaan. #🎜🎜#rrreeeVerifyCsrfToken
dalam Laravel akan menyemak CSRF pada sebarang permintaan POST, PUT atau DELETE yang ditakrifkan dalam laluan Sama ada token adalah sah. Secara lalai, fail routes/web.php
aplikasi juga akan menggunakan perisian tengah VerifyCsrfToken
sebagai tambahan kepada perisian tengah web
. #🎜🎜##🎜🎜#Anda boleh menambah perisian tengah CSRF dalam kumpulan perisian tengah untuk digunakan dalam laluan lain dalam aplikasi. Untuk melindungi laluan dengan middleware, kami boleh menambahkannya pada definisi laluan menggunakan kaedah middleware
seperti berikut: #🎜🎜#rrreeeVerifyCsrfToken
, Laravel akan membuang pengecualian TokenMismatchException
dan memberikan paparan ralat lalai. #🎜🎜##🎜🎜#Kami boleh cuba menangkap pengecualian CSRF dan menentukan pengendalian ralat kami sendiri dalam fail app/Exceptions/Handler.php
. Berikut ialah contoh pengendali pengecualian CSRF tersuai: #🎜🎜#rrreee#🎜🎜# Dalam kod di atas, kami menangkap pengecualian TokenMismatchException
dan menggunakan Kaedah with
menyimpan mesej ralat kepada data kilat ralat
. Kemudian, kita boleh mengakses data denyar ini dalam paparan menggunakan kaedah with
. #🎜🎜##🎜🎜#Akhir sekali, kami boleh menambah medan token CSRF pada paparan untuk sebarang borang yang memerlukan penyerahan permintaan POST, PUT atau DELETE. Medan token CSRF boleh dijana dalam bentuk menggunakan kaedah csrf_field
, seperti yang ditunjukkan di bawah: Cara menggunakan perisian tengah dalam Laravel untuk melindungi aplikasi anda daripada serangan CSRF. Kami telah meningkatkan keselamatan aplikasi dengan berkesan dengan mengkonfigurasi token CSRF, menggunakan perisian tengah VerifyCsrfToken
lalai dan menyesuaikan kaedah pengendalian ralat CSRF. Saya percaya teknologi ini boleh membantu anda membina aplikasi web yang lebih selamat. #🎜🎜#Atas ialah kandungan terperinci Cara menggunakan perisian tengah untuk perlindungan Pemalsuan Permintaan Silang Tapak (CSRF) dalam Laravel. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!