csrf攻击在laravel中的解决方法-Laravel-PHP中文网

首页

php框架

Laravel

csrf攻击在laravel中的解决方法

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 21, 2022 pm 04:07 PM

laravel

解决方法：1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”，该Token可用于验证登录用户和发起请求者是否是同一人，如不是则请求失败；2、提供了一个全局帮助函数“csrf_token”来获取Token值，只需在视图提交表单中添加token代码即可，语法为“990639956974d72f40253b5651f3934a”。

csrf攻击在laravel中的解决方法

本文操作环境：Windows10系统、Laravel9版、Dell G3电脑。

csrf攻击在laravel中的解决方法

CSRF是跨站请求伪装（Cross-site request forgery）的英文缩写；

Laravel框架中避免CSRF攻击很简单：

1、Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如不是则请求失败。（原理和验证码是一致的。）

2、 Laravel提供了一个全局帮助函数csrf_token来获取Token值，因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel中如何避免CSRF攻击

案例：通过案例实现csrf的机制验证
1、创建两个路由，一个用于展示表单（get），另外处理请求（post）

Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

2、创建需要的方法

	 public function test6(){
        return view('home.test.test6');
     }
     public function test7()
     {
         return "请求提交成功";
     }

3、创建需要的简易表单

在这里插入图片描述

4、提交效果（报错页面）

在这里插入图片描述

结论：通过刚才的案例，说明在laravel中csrf验证机制默认是开启的。

5、解决报错问题（如何通过csrf验证）
解决思路：带上csrf需要token值，随着请求传递给后续的方法

d7733188d2b0308ec0890e4ccbba6753
    用户名:46a620ee67c45579c3756a2e4b58b9290c6dc11e160d3b678d68754cc175188a
    f23bc94ea54a368d8d5a85bd053c94b8
    {{csrf_field()}}
    10c88813b1d79313d0132c5ec3999828f5a47148e367a6035fd7a2faa965022e

针对csrf_token方法的简化：{{csrf_field()}}

具体的表现形式：

在这里插入图片描述

两者的区别：
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择：大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的，必须需要使用csrf_token的，这个情况就是使用异步提交表单的方式。

从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：

通过编写配置设置例外：
单个路由排除写法

 'home.test.test6',

多个元素之间通过“,”分割，遵循数组写法。

'home.test.test6','home.test.test7'

如果需要排除全部路由使用csrf的话，则可以写成：

'*'

【相关推荐：laravel视频教程】

以上是csrf攻击在laravel中的解决方法的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

包容的幻想：解决偏远工作中的孤立和孤独感Apr 25, 2025 am 12:28 AM

Tocombatisolationandlonelinessinremotework,companiesshouldimplementregular,meaningfulinteractions,provideequalgrowthopportunities,andusetechnologyeffectively.1)Fostergenuineconnectionsthroughvirtualcoffeebreaksandpersonalsharing.2)Ensureremoteworkers

Laravel用于全堆栈开发：综合指南Apr 25, 2025 am 12:27 AM

laravelispularfullull-stackDevelopmentBecapeitOffersAsAseAseAseAseBlendOfbackendEdpoperandPowerandForterFlexibility.1）ITSbackEndCapaPabilities，sightifyDatabaseInteractions.2）thebladeTemplatingEngingEngineAllolowsLows

视频会议摊牌：为远程会议选择正确的平台Apr 25, 2025 am 12:26 AM

选择视频会议平台的关键因素包括用户界面、安全性和功能。1)用户界面应直观，如Zoom。2)安全性需重视，MicrosoftTeams提供端到端加密。3)功能需匹配需求，GoogleMeet适合简短会议，CiscoWebex提供高级协作工具。

哪些数据库版本与最新的Laravel兼容？Apr 25, 2025 am 12:25 AM

最新版本的Laravel10与MySQL5.7及以上、PostgreSQL9.6及以上、SQLite3.8.8及以上、SQLServer2017及以上兼容。这些版本选择是因为它们支持Laravel的ORM功能，如MySQL5.7的JSON数据类型，提升了查询和存储效率。

将Laravel用作全栈框架的好处Apr 25, 2025 am 12:24 AM

laravelisanexceltentchoiceforfull-stackdevelopmentduetoitsRobustFeaturesAndEsofuse.1）ITSImplifiesComplexComplextaskSwithitSmodernphpsyNtaxandToolSandToolSlikeBlikeforFront-Endandeloquentormquentormquentormforback-end.2）

Laravel的最新版本是什么？Apr 24, 2025 pm 05:17 PM

Laravel10,releasedonFebruary7,2023,isthelatestversion.Itfeatures:1)Improvederrorhandlingwithanewreportmethodintheexceptionhandler,2)EnhancedsupportforPHP8.1featureslikeenums,and3)AnewLaravel\Promptspackageforinteractivecommand-lineprompts.

最新的Laravel版本如何简化开发？Apr 24, 2025 pm 05:01 PM

thelatestlaravelververversionenhancesdevelopmentwith：1）简化的inimpliticmodelbinding，2）增强EnhancedeloquentcapabibilitionswithNewqueryMethods和3）改善了supportorfortormodernphpfortornphpforternphpfeatureserslikenamedargenamedArgonedArgonsemandArgoctess，makecodingMoreftermeforefterMealiteFficeAndEnjoyaigaigaigaigaigaiganigaborabilyaboipaigyAndenjoyaigobyabory。