我们知道,目前最流行的API设计规范就是restFul API设计了。restful有五种常见的HTTP方法,即:get、post、put、patch及delete。使用html表单非常容易构造get或post方法,但是另外三种方法却不支持。但是在laravel中,你可以通过表单伪造技术来使用上述的其他三种方法。
推荐教程:《laravel框架》
准备工作
首先我们要把准备工作做好。我们需要创建两个路由:一个表单路由,一个接受表单的路由。
// 表单页 Route::get('form', function () { return view('form'); }); // 接受表单请求 Route::any('getform', function () { return \Illuminate\Support\Facades\Request::method(); });
刚开始,我们弄一个最简单的get请求表单,内容如下:
<form method="get" action="/getform"> <input type="submit" value="sub" /> </form>
点击提交按钮后,浏览器出现'GET',表示get请求成功发送并被接受。
CSRF保护
然后,我们换成post方法,然后刷新点击提交按钮,看会出现设么情况。你会发现出现“page expired”,状态码为419的错误。laravel为什么接受不了post请求?这里就要引出laravel的默认CSRF保护机制了。
laravel为了防止被跨站请求伪造攻击,提供了CSRF令牌保护,所以,除了get方法请求外的所有方法,读需要在表单里加上CSRF令牌,如下:
<input type="hidden" name="_token" value="{{csrf_token()}}">
它还有一种简写方法,如下:
@csrf
关闭CSRF保护功能
一般不建议关闭整站CSRF功能,想要关闭非常简单,只需将Kernel.php文件中的
\App\Http\Middleware\VerifyCsrfToken::class
这行注释即可。
CSRF 白名单
经常我们需要设置一组不需要CSRF保护的URL,比如对第三方提供的API接口,我们希望所有对外的API接口都不需要CSRF保护。那么,可以通过CSRF白名单的功能,设置白名单在app/Http/Middleware/VerifyCsrfToken.php文件操作。如下:
class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ /* 这里是白名单列表 */ 'http://example.com/api/*', 'api/*', 'a/b/*' ]; }
注意:为方便测试,当测试环境时,csrf功能会自动关闭
表单伪造
学完了CSRF保护机制后,我们来看看如何进行表单伪造。想要伪造表单也非常的简单,只需要在表单里添加
<input type="hidden" name="_method" value="PUT">
或简写成
@method('PUT')
下面是一个伪造put请求的表单
以上是laravel的表单伪造与CSRF保护的详细内容。更多信息请关注PHP中文网其他相关文章!

选择Laravel开发项目是因为其灵活性和强大功能适应不同规模和复杂度的需求。Laravel提供路由系统、EloquentORM、Artisan命令行等功能,支持从简单博客到复杂企业级系统的开发。

Laravel和Python在开发环境和生态系统上的对比如下:1.Laravel的开发环境简单,仅需PHP和Composer,提供了丰富的扩展包如LaravelForge,但扩展包维护可能不及时。2.Python的开发环境也简单,仅需Python和pip,生态系统庞大,涵盖多个领域,但版本和依赖管理可能复杂。

Laravel是如何在后端逻辑中发挥作用的?它通过路由系统、EloquentORM、认证与授权、事件与监听器以及性能优化来简化和增强后端开发。1.路由系统允许定义URL结构和请求处理逻辑。2.EloquentORM简化数据库交互。3.认证与授权系统便于用户管理。4.事件与监听器实现松耦合代码结构。5.性能优化通过缓存和队列提高应用效率。

Laravel受欢迎的原因包括其简化开发过程、提供愉快的开发环境和丰富的功能。1)它吸收了RubyonRails的设计理念,结合PHP的灵活性。2)提供了如EloquentORM、Blade模板引擎等工具,提高开发效率。3)其MVC架构和依赖注入机制使代码更加模块化和可测试。4)提供了强大的调试工具和性能优化方法,如缓存系统和最佳实践。

Django和Laravel都是全栈框架,Django适合Python开发者和复杂业务逻辑,Laravel适合PHP开发者和优雅语法。1.Django基于Python,遵循“电池齐全”哲学,适合快速开发和高并发。2.Laravel基于PHP,强调开发者体验,适合小型到中型项目。

PHP和Laravel不是直接可比的,因为Laravel是基于PHP的框架。1.PHP适合小型项目或快速原型开发,因其简单直接。2.Laravel适合大型项目或高效开发,因其提供丰富功能和工具,但学习曲线较陡,性能可能不如纯PHP。

laravelisabackendframeworkbuiltonphp,设计ForweBapplicationDevelopment.itfocusessonserver-sideLogic,databasemagemention和Applicationstructure和CanBeintegratedWithFrontendTechnologiesLikeLikeVue.jsorreActeReacterVue.jsorreActforforfull-stackDevefloct。

本文讨论了Laravel中的创建和使用自定义刀片指令以增强模板。它涵盖了定义指令,在模板中使用它们,并在大型项目中管理它们,强调了改进的代码可重复性和R等好处


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

AI Hentai Generator
免费生成ai无尽的。

热门文章

热工具

MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。

WebStorm Mac版
好用的JavaScript开发工具

SecLists
SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。

Dreamweaver Mac版
视觉化网页开发工具

安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。