如何在Laravel中使用中間件進行跨站請求偽造（CSRF）保護

在現代網路應用程式中，跨站請求偽造（CSRF）攻擊已成為一種常見的攻擊方式，Laravel是一款流行的PHP框架，它內建了CSRF保護機制，使用中間件可以非常方便地為應用程式添加CSRF保護。

本文將介紹如何在Laravel中使用中間件進行CSRF保護，並提供具體的程式碼範例。

什麼是跨站請求偽造（CSRF）攻擊？

跨站請求偽造攻擊，英文名為Cross-Site Request Forgery，簡稱CSRF，是一種透過偽造使用者身分發動惡意請求的攻擊方式。

攻擊者通常透過欺騙使用者點擊帶有惡意連結的頁面或在受害者登入的網站中插入惡意腳本的方式來實施CSRF攻擊。當受害者在登入狀態下，攻擊者發起一系列惡意請求（例如修改密碼、發表留言等），這些請求看起來對受害者來說是合法的，但實際上這些請求是由攻擊者發起的，這樣就會對受害者造成一定的危害。

如何在Laravel中使用中間件進行CSRF保護？

Laravel為我們提供了一個非常方便的機制來保護應用程式免受CSRF攻擊。 Laravel框架中內建了CSRF保護機制，可以透過中間件方式來實現。

在Laravel中，我們使用CSRF中間件來檢查POST、PUT、DELETE請求上的CSRF令牌是否有效。預設情況下，Laravel會在應用程式中加入VerifyCsrfToken中間件，並自動檢查這些要求的CSRF令牌是否有效。

如果CSRF令牌無效，Laravel將拋出一個TokenMismatchException異常，並提供一個預設的錯誤視圖。我們也可以根據自己的需求自訂錯誤處理方式。

配置CSRF令牌

Laravel會在每個使用者會話中為應用程式產生一個CSRF令牌，我們可以在應用config/csrf.php的設定文件中調整CSRF令牌的配置。此設定檔可讓您設定CSRF COOKIE和CSRF令牌在請求中的名稱。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中間件

Laravel中的VerifyCsrfToken中間件將檢查在路由中定義的任何POST、PUT或DELETE請求上的CSRF令牌是否有效。預設情況下，套用的routes/web.php檔案除了web中間件外，還會使用VerifyCsrfToken中間件。

可以在中間件群組中新增CSRF中間件，以便在應用程式中的其他路由中使用。為了使用中間件保護路由，我們可以使用middleware方法將其新增至路由定義中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自訂CSRF錯誤處理

預設情況下，如果使用VerifyCsrfToken中間件偵測到CSRF令牌不正確，Laravel將拋出一個TokenMismatchException異常，並提供一個預設的錯誤視圖。

我們可以在app/Exceptions/Handler.php檔案中嘗試擷取CSRF異常並指定我們自己的錯誤處理方式。下面是一個自訂CSRF異常處理程序的範例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 处理CSRF异常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的程式碼中，我們捕獲了TokenMismatchException異常，並使用with方法將錯誤訊息儲存到error快閃記憶體資料中。稍後，我們可以在視圖中使用with方法來存取這個閃存資料。

最後，我們可以在檢視中為任何需要提交POST、PUT或DELETE請求的表單新增CSRF令牌欄位。使用csrf_field方法即可在表單中產生CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

總結

在本文中，我們介紹如何在Laravel中使用中間件保護應用免受CSRF攻擊。我們透過配置CSRF令牌、使用預設的VerifyCsrfToken中間件以及自訂CSRF錯誤處理方式等措施，有效地提高了應用程式的安全性。相信這些技術可以幫助您建立更安全的網路應用程式。

以上是如何在Laravel中使用中間件進行跨站請求偽造（CSRF）保護的詳細內容。更多資訊請關注PHP中文網其他相關文章！