跨站点请求伪造CSRF攻击
攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。
Laravel的CSRF处理
在开启session时为每个session分配一个token
public function regenerateToken() { $this->put('_token', Str::random(40)); }
引入VerifyCsrfToken中间件后在handle里进行核心处理
public function handle($request, Closure $next) { if ( $this->isReading($request) || $this->runningUnitTests() || $this->inExceptArray($request) || $this->tokensMatch($request) ) { return $this->addCookieToResponse($request, $next($request)); } throw new TokenMismatchException; }
$this->isReading()
判断请求是否是['HEAD', 'GET', 'OPTIONS']
这三种请求。$this->runningUnitTests()
判断程序是否正在进行单元测试。$this->inExceptArray()
判断请求是否需要进行Crsf验证。 <