」。"/> 」。">

首頁 >php框架 >Laravel >csrf攻擊在laravel的解決方法

csrf攻擊在laravel的解決方法

WBOY
WBOY原創
2022-06-21 16:07:533578瀏覽

解決方法:1、利用Laravel自動為每個使用者Session產生了一個“CSRF Token”,該Token可用於驗證登入使用者和發起請求者是否是同一人,如不是則請求失敗;2 、提供了一個全域幫助函數「csrf_token」來取得Token值,只需在視圖提交表單中加入token程式碼即可,語法為「<...value php="" echo="">」。

csrf攻擊在laravel的解決方法

本文操作環境:Windows10系統、Laravel9版、Dell G3電腦。

csrf攻擊在laravel中的解決方法

CSRF是跨站請求偽裝(Cross-site request forgery)的英文縮寫;

 Laravel框架中避免CSRF攻擊很簡單:

1、Laravel自動為每個使用者Session產生了一個CSRF Token,該Token可用於驗證登入使用者和發起請求者是否是同一人,如不是則請求失敗。 (原理和驗證碼是一致的。)

2、 Laravel提供了一個全域幫助函數csrf_token來取得Token值,因此只需在視圖提交表單中新增以下HTML程式碼即可在請求中帶上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel中如何避免CSRF攻擊

案例:透過案例實作csrf的機制驗證
1、建立兩個路由,一個用於展示表單(get),另外處理請求(post)

Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

2、建立需要的方法

	 public function test6(){
        return view('home.test.test6');
     }
     public function test7()
     {
         return "请求提交成功";
     }

3、建立需要的簡易表單

csrf攻擊在laravel的解決方法

4、提交效果(錯誤頁面)

csrf攻擊在laravel的解決方法

結論:透過剛​​才的案例,說明在laravel中csrf驗證機制預設是開啟的。

5、解決錯誤問題(如何透過csrf驗證)
解決想法:帶上csrf需要token值,隨著請求傳遞給後續的方法


    用户名:
         {{csrf_field()}}     

針對csrf_token方法的簡化:{{csrf_field()}}

具體的表現形式:

csrf攻擊在laravel的解決方法

#兩者的差異:
Csrf_token只是輸出token的值
Csrf_field輸出了一個整個的input隱藏域

在後期使用的時候怎麼選擇:大部分情況下可以自己根據情況選擇。但是有一個情況下開發者是沒有選擇權限的,必須需要使用csrf_token的,這個情況就是使用非同步提交表單的方式。

從CSRF驗證排除例外路由

並不是所有請求都需要避免CSRF攻擊,例如到第三方API取得資料的請求。
可以透過在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中間件中將要排除的請求URL添加到$except屬性數組中:

透過編寫配置設定例外:
單一設定路由排除寫法

 'home.test.test6',

多個元素之間透過「,」分割,遵循陣列寫法。

'home.test.test6','home.test.test7'

如果需要排除全部路由使用csrf的話,可以寫成:

'*'

【相關建議:laravel影片教學

以上是csrf攻擊在laravel的解決方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn