Laravel - CSRF token禁用方法

最新推荐文章于 2025-09-13 12:34:46 发布
最新推荐文章于 2025-09-13 12:34:46 发布
阅读量6.7k 收藏 1
点赞数
文章标签: php
本文介绍如何在Laravel框架中禁用或调整CSRF保护功能。提供了两种关闭方法及如何仅针对特定请求禁用CSRF的方法。

关闭

Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:

方法一

打开文件:app\Http\Kernel.php

把这行注释掉:

 protected $middleware = [
\Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class,
\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
\Illuminate\Session\Middleware\StartSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,
\App\Http\Middleware\VerifyCsrfToken::class,
    ];

‘App\Http\Middleware\VerifyCsrfToken’

方法二

打开文件:app\Http\Middleware\VerifyCsrfToken.php

修改为:

复制代码

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // 使用CSRF
        //return parent::handle($request, $next);
        // 禁用CSRF
        return $next($request);
    }

}

使用

CSRF的使用有两种,一种是在HTML的代码中加入:

<input type="hidden" name="_token" value="{{ csrf_token() }}" />

另一种是使用cookie方式。

使用cookie方式,需要把app\Http\Middleware\VerifyCsrfToken.php修改为:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return parent::addCookieToResponse($request, $next($request));
    }

}

复制代码
使用cookie方式的CSRF,可以不用在每个页面都加入这个input的hidden标签。

部分使用

当然,也可以对指定的表单提交方式使用CSRF,如:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // Add this:
        if($request->method() == 'POST')
        {
            return $next($request);
        }

        if ($request->method() == 'GET' || $this->tokensMatch($request))
        {
            return $next($request);
        }
        throw new TokenMismatchException;
    }

}

只对GET的方式提交使用CSRF,对POST方式提交表单禁用CSRF

修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,重写addCookieToResponse(…)方法做到。

心鑫
关注
Laravel框架对csrf攻击的处理方式
MminQAQ的博客
06-28 637
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
Laravel 5禁用csrf_token
红壶吃猬队的博客
03-12 670
在app\Http\Kernel.php中,将“App\Http\Middleware\VerifyCsrfToken”一行注释掉; 在App\Http\Middleware\VerifyCsrfToken.php中,将“return parent::handle($request, $next);”一行改为“return $next($request);”; (5.1及以上版本用)在App\H...
laravel中关闭CSRF方法
woshihaiyong168的博客
11-18 1302
在框架中一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
Laravel开发中的Token机制与安全实践详解
最新发布
weixin_35696112的博客
09-13 1071
在现代Web开发中,Token机制是保障系统安全、实现用户身份验证与维护请求状态的重要手段。Laravel框架内置了完善的Token管理机制,广泛应用于表单提交、API身份验证以及防止跨站请求伪造(CSRF)等场景。Token本质上是一串加密字符串,用于标识用户身份并验证请求的合法性。在Laravel中,Token主要通过Session与中间件机制生成与验证,确保每一次请求的安全性与一致性。理解Token的工作原理,是掌握Laravel安全机制的关键一步。
laravel中关闭CSRF(全部关闭、部分关闭)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8353
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 ...
laravel csrf使用以及禁用
Grave burn paper
09-24 777
方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: php namespace App\Http\Middleware; use Closure; use
laravel CSRF token使用方法
xiaoluyouyue的博客
12-08 1018
Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为:   &lt;?php namesp...
laravel 5.5 关闭token的3种实现方式
10-16
本文将详细探讨如何在Laravel 5.5中关闭Token验证的三种实现方法。 第一种方法:项目全局关闭Token验证 在Laravel中,全局关闭Token验证是通过修改中间件来实现的。通常情况下,Token验证在`VerifyCsrfToken`中间件...
laravel 6 路由 禁用CSRF token
05-30
虽然不建议禁用 LaravelCSRF 防护功能,但如果你非常确定自己的应用不需要 CSRF 防护,你可以在指定路由上禁用 CSRF token 验证。方法如下: 在 `app/Http/Middleware/VerifyCsrfToken.php` 中,找到 `$except`...
Laravel开发-laravel4-header-csp
08-28
<script nonce="{{ csrf_token() }}"> // Your inline script here ``` **CSP Violation Reporting**: 为了检测和修复CSP策略中的问题,可以设置`report-uri`指令,指定一个URL接收CSP违规报告。Laravel 4中可以...
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
10-16
Laravel 中,CSRF 保护是通过 `VerifyCsrfToken` 中间件实现的,它会检查每个 POST、PUT、PATCH 和 DELETE 请求中的 `X-CSRF-TOKEN` 或 `X-XSRF-TOKEN` 头部。如果请求中未找到正确的令牌,或者令牌无效,中间件...
laravel 对读请求加 csrf-token 验证
weixin_41565755的博客
04-13 747
1、laravel默认是不对 对于重要的读请求进行csrf-token 验证的,但是对于对于一些重要的读方法,也可以添加保护。 protected function isReading($request) { return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']); } 2、对读请求加 csrf-token 验证 (1)namespace Illuminate\Foundati..
学习 Laravel 那些坑(三) csrf_token()
03-25 5539
laravel 5.5 填写注册信息时遇到错误信息 The page has expired due to inactivity. Please refresh and try again http 状态 419 Authentication Timeout (not in RFC 2616) 这时 url 已跳转到 login,显然登录时有问题;查了下是 csrf_token 的问题;...
laravelcsrf token 的了解及使用
weixin_30435261的博客
10-24 409
之前在项目中因为没有弄清楚csrf token的使用,导致发请求的话,一直请求失败,今天就一起来看一下csrf的一些东西。 1.Cross-site request forgery 跨站请求伪造,也被称为 “one click attack” 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。CSRF 则通过伪装来自受信任用户的请求来利用受信任的...
laravel CSRF攻击
qq_45844648的博客
04-13 278
CSRF是跨站请求伪造, laravel框架中避免CSRF攻击:laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。 ...
禁用token及无感知更新token功能实现
qishaoawei的博客
08-02 1355
禁用token,与无感知更新token更新
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2829
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
Laravel 5.8 :基础组件 —— CSRF 保护
欢迎交流PHP和前端知识QQ:634487911
05-28 1087
1、什么是CSRF攻击 可以理解为两个域名之间不能跨过域名来发送请求或者请求数据,否则就是不安全的,这种不安全也就是CSRF(Cross-site request forgery),中文名称:跨站请求伪造。 laravel 框架中为避免CSRF攻击,为每个 用户session生成一个CSRF token,该token用于验证登录用户和发起请求用户是否为同一个人。 laravel提供了一个...
Laravel 下的伪造跨站请求保护 CSRF#
weixin_33686714的博客
12-26 171
简介# Laravel 可以轻松地保护应用程序免受跨站请求伪造(CSRF) 的攻击。跨站请求伪造是一种恶意的攻击, 他凭借已通过身份验证的用户身份来运行未经过授权的命令。 Laravel 会自动为每个活跃用户的会话生成一个 CSRF [令牌] 。该令牌用于验证经过身份验证的用户是向应用程序 发出请求的用户。 任何情况下当你在应用程序中定义HTML 表单时,都应该在在表单中包含一个隐藏的C...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值