Laravel中CSRF的验证与取消验证

最新推荐文章于 2021-04-13 17:52:24 发布
最新推荐文章于 2021-04-13 17:52:24 发布
阅读量1.2k 收藏
点赞数
分类专栏: php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Deeeelete/article/details/105619764
版权

CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。


原理:Laravel为每个用户session生成了一个CSRGToken,该token用来验证登录用户和请求发起者是否是同一人,如果不是则请求失败。

一:CSRF验证

路由部分:

//CSRF
Route::group(['prefix'=>'Home/test'], function () {
    
    Route::match(['get'],'csrf1', 'Home\IndexController@csrf1');
    Route::match(['post'],'csrf2', 'Home\IndexController@csrf2') -> name('csrf2');

});

Controller写法:

   //csrf1展示表单
    public function csrf1(){
        return view('Home/test/csrf1');
    }
    //csrf2处理请求
    public function csrf2(){
        return '提交成功';
    }

视图写法:
\resources\views\Home\test\csrf1.blade.php

<form action="{{route('csrf2')}}" method="post">
	姓名:<input type="text" name="name" value="">

<input type="submit" name="">
</form>

浏览器访问:
在这里插入图片描述但是这样提交表单是会失败的,因为我们没有携带token
在这里插入图片描述
解决:

在表单中添加一个value为<?php echo csrf_token();?>的input,当然,在blade模板引擎中可以用{{}}简写

<form action="{{route('csrf2')}}" method="post">
	姓名:<input type="text" name="name" value="">
<input type="hidden" name="_token" value="{{csrf_token()}}">
<input type="submit" name="">
</form>

重新提交:

在这里插入图片描述同样的,上面的<input type="hidden" name="_token" value="{{csrf_token()}}">还可以继续简写,用一个函数来代替,当然这种方法没法做异步

<form action="{{route('csrf2')}}" method="post">
	姓名:<input type="text" name="name" value="">
{{csrf_field()}}
<input type="submit" name="">
</form>

在这里插入图片描述在这里插入图片描述

二:CSRF排除例外路由

可以到\app\Http\Middleware\VerifyCsrfToken.php中的$except属性数组中设置白名单,这样就能关闭指定对象的CSRF验证

在这里插入图片描述填写白名单:
在这里插入图片描述

视图:

<form action="{{route('csrf2')}}" method="post">
	姓名:<input type="text" name="name" value="">
<input type="submit" name="">
</form>

浏览器访问:
在这里插入图片描述

同时定义多规则时需要,分隔
在这里插入图片描述设置全部忽略只需要填*即可

protected $except = [
        //排除所有CSRF验证
        '*'
    ];
}
Deeeelete
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
laravel csrf验证总结
weixin_46044420的博客
09-17 531
laravel csrf验证总结 前言问题: laravel 在web路由下无论是表单提交啊 还是ajax请求啊 只要是请求方式不满足 ['HEAD', 'GET', 'OPTIONS'] 就会报419错误,原因是其自带开启csrf验证,防止csrf攻击 感兴趣的可以看看这部分源码:Illuminate\Foundation\Http\Middleware\VerifyCsrfToken 解决方式: 一.屏蔽csrf验证 部分屏蔽 App\Http\Middleware\VerifyCsrfToken.
Laravel表单的_token验证、@csrf、简单留言板
qq_46179813的博客
05-19 1048
1、表单_token的验证 <input type="hidden" name="_token" value="<?php echo csrf_token();?>"> 2、back()回退上一页面 3、更新迁移文件 C:\wamp64\www\weibo>php artisan migrate Nothing to migrate. C:\wamp64\www\weibo>php artisan migrate:rollback Rolling back: 2020
laravel关闭CSRF的方法
woshihaiyong168的博客
11-18 1234
在框架一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
laravel关闭csrf验证
me_Lany的博客
01-10 1074
打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: 复制代码 <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class Ver
laravel 部分路由取消csrf
weixin_30588729的博客
10-28 181
// app/Http/Middleware/VerifyCsrfToken protected $except = [ 'webhook/*' ]; 转载于:https://www.cnblogs.com/fenle/p/4918027.html
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
10-16
这个错误通常与 CSRF (Cross-Site Request Forgery) 验证有关,尤其是在处理 AJAX 请求时。CSRF 是一种网络安全攻击方式,攻击者尝试利用用户的登录状态执行非用户意愿的操作。Laravel 内置了 CSRF 保护机制,通过在...
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其...当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
Laravel5.1 框架表单验证操作实例详解
10-15
Laravel5.1框架,表单验证是一项至关重要的功能,它确保了用户提交的数据符合预期的格式和约束,从而防止数据不完整或错误的情况发生。本实例将详细讲解如何在Laravel5.1执行表单验证,以及相关的实现步骤和...
laravel框架表单请求类型和CSRF防护实例分析
12-20
如果出现CSRF验证失败,Laravel会抛出`419 Page Expired`错误。对于AJAX请求,可以捕获并处理这个错误,通常需要在请求头添加`X-CSRF-TOKEN`字段,值为`csrf_token()`的返回值。 6. **自定义API响应和异常处理**...
laravel csrf排除路由,禁止,关闭指定路由的例子
01-03
有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken ...
Laravel开发-cookie-csrf
08-27
2. `app/Http/Middleware/VerifyCsrfToken.php`:可能已经修改过的CSRF验证间件。 3. `app/Http/Controllers/`:控制器文件,可能会有处理表单提交的代码,以及如何使用过滤器的例子。 4. `public/.htaccess`:...
laravel-auth-timeout:Laravel 的身份验证超时
05-29
Laravel 身份验证超时 一个处理身份验证超时的小型 Laravel 8 包。 升级到 v3 时,请参阅 。 有关 Laravel 6+ 的支持,请参阅 。为什么 Laravel 身份验证超时? 有时我们希望在用户未完成并在一段时间内请求时注销...
Laravel 7.0 文文档.pdf
09-05
4. **间件**:间件作为请求处理流程的过滤器,可以执行权限检查、CSRF 保护等功能。 5. **控制器**:控制器是处理 HTTP 请求的核心,用于组织业务逻辑。 6. **请求与响应**:Laravel 提供了强大的 Request ...
Laravel 5.7 文文档.pdf
09-05
- **间件**:处理请求和响应,如CSRF保护、身份验证等。 - **控制器**:处理业务逻辑,可以结合视图生成响应。 - **请求与响应**:封装了HTTP请求和响应对象,方便处理输入和输出。 - **视图**:使用Blade模板...
laravel 对读请求加 csrf-token 验证
weixin_41565755的博客
04-13 635
1、laravel默认是不对 对于重要的读请求进行csrf-token 验证的,但是对于对于一些重要的读方法,也可以添加保护。 protected function isReading($request) { return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']); } 2、对读请求加 csrf-token 验证 (1)namespace Illuminate\Foundati..
Laravel - CSRF token禁用方法
ufan94的博客
08-23 324
laravel csrf token禁用
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证
卡尔特斯
02-24 1151
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
Laravel 如何关闭跨域请求验证
chengju7332的博客
03-25 560
使用间件来关闭跨域请求验证 首先在app/Http/Middleware文件夹内添加一个CORS.php文件 使用命令 phpartisanmake:middlewareCORS 修改php文件内容 内容如下 <?phpnamespaceApp\Http\...
laravel邮箱验证
最新发布
05-23
Laravel 进行邮箱验证可以通过以下步骤实现: 1. 在控制器定义验证规则: ```php $rules = [ 'email' => 'required|email|unique:users,email', ]; ``` 2. 在控制器引入 Validator 并使用 validate 方法进行验证: ```php use Illuminate\Support\Facades\Validator; $validator = Validator::make($request->all(), $rules); if ($validator->fails()) { return redirect()->back()->withErrors($validator); } // 验证通过,继续执行其他操作 ``` 3. 在表单添加邮箱输入框并设置 name 属性为 email: ```html <form action="/register" method="POST"> @csrf <label for="email">邮箱</label> <input type="email" name="email" id="email"> <button type="submit">注册</button> </form> ``` 4. 在邮箱验证邮件添加验证链接并发送给用户: ```php use Illuminate\Support\Facades\Mail; use App\Mail\VerificationEmail; Mail::to($user->email) ->send(new VerificationEmail($user->verification_token)); ``` 5. 创建 VerificationEmail 类并定义邮件内容及验证链接: ```php use Illuminate\Mail\Mailable; class VerificationEmail extends Mailable { public $verificationToken; public function __construct(string $verificationToken) { $this->verificationToken = $verificationToken; } public function build() { $url = route('verify-email', $this->verificationToken); return $this->view('emails.verification', ['url' => $url]); } } ``` 6. 创建邮箱验证路由并处理验证逻辑: ```php use App\Models\User; Route::get('/verify-email/{token}', function ($token) { $user = User::where('verification_token', $token)->first(); if (!$user) { abort(404); } $user->update(['verification_token' => null]); return view('emails.verification-success'); })->name('verify-email'); ``` 以上就是 Laravel 进行邮箱验证的基本步骤,具体实现可能会有所不同,但大致思路是相似的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值