laravel中关闭csrf方法

最新推荐文章于 2023-06-28 00:12:26 发布
最新推荐文章于 2023-06-28 00:12:26 发布
阅读量813 收藏
点赞数
分类专栏: laravel csrf 文章标签: csrf laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qyjphp/article/details/78930147
版权

CSRF攻击和漏洞的参考文章:
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

Laravel默认是开启了CSRF功能,关闭此功能的方法:

方法一
打开文件:app\Http\Kernel.php

把这行注释掉:

'App\Http\Middleware\VerifyCsrfToken'

方法二
打开文件:app\Http\Middleware\VerifyCsrfToken.php

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // 使用CSRF
        //return parent::handle($request, $next);
        // 禁用CSRF
        return $next($request);
    }

}

方法三:
在app/http/Middleware/VerifyCsfyToken.php中添加

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        //
        'users/login',   //此方法关闭csrf
        'publish/*',      //关闭控制器中的csrf
        'publish/comment',
    ];
}

CSRF的使用有两种,一种是在HTML的代码中加入:

<input type="hidden" name="_token" value="{{ csrf_token() }}" />

另一种是使用cookie方式。

使用cookie方式,需要把app\Http\Middleware\VerifyCsrfToken.php修改为:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return parent::addCookieToResponse($request, $next($request));
    }

}

使用cookie方式的CSRF,可以不用在每个页面都加入这个input的hidden标签。

当然,也可以对指定的表单提交方式使用CSRF,如:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // Add this:
        if($request->method() == 'POST')
        {
            return $next($request);
        }

        if ($request->method() == 'GET' || $this->tokensMatch($request))
        {
            return $next($request);
        }
        throw new TokenMismatchException;
    }

}

只对GET的方式提交使用CSRF,对POST方式提交表单禁用CSRF

修改CSRF的cookie名称方法
通常使用CSRF时,会往浏览器写一个cookie,如:
要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php
找到”XSRF-TOKEN“,修改它即可。
当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,重写addCookieToResponse(…)方法做到。

rabbitlabor
关注
专栏目录
Laravel基础之CSRF保护
蛐蛐的博客
11-07 832
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序定义HTML表单时,都应在表单包含一个隐藏的CSRF令牌字段,以便CSRF保护间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
laravelcsrf鉴权取消
m0_37570494的博客
02-09 317
1、在这文件: 注释掉即可:
laravel关闭CSRF方法
woshihaiyong168的博客
11-18 1241
在框架一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
Laravel5.1忽略Csrf验证的方法
weixin_34177064的博客
05-21 187
在/App/Http/middleware/VerifyCsrfToken.php 文件的protected $except里面加入路由地址 转载于:https://www.cnblogs.com/lamp01/p/6884924.html
laravel入门-CSRF解决
weixin_30750335的博客
12-11 69
1. html 解决方案 1.1 表单里加上 <input type='hidden' name="_token" value="{{ csrf_token() }}"/> 2. 接口解决方案 1 2.1 在 verifycsrftoken.php文件加上路由 2 3 cat app/Http/Middleware/Ver...
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其...当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
laravelcsrf 防御机制详解,及formcsrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel框架表单请求类型和CSRF防护实例分析
12-20
Laravel框架,表单请求类型和CSRF(跨站请求伪造)防护是Web应用开发的关键概念,确保了应用程序的安全性和用户交互的正确性。以下是对这些知识点的详细说明: 1. **表单请求类型**: Laravel提供了一组便捷...
laravel csrf排除路由,禁止,关闭指定路由的例子
10-16
总的来说,在Laravel框架,通过间件VerifyCsrfToken.php的$except属性来排除特定路由的CSRF验证是一种快速且有效的方法。但开发者在实施时应该仔细评估安全性问题,确保不会因为方便而牺牲了应用的安全性。
Laravel 禁用指定 URL POST 请求的 csrf 检查
大海技术博客
09-20 856
post 路由被拦截是 框架拦截crsf 方案:https://blog.csdn.net/qq_27229113/article/details/101061776 路由 Route::prefix('api')->namespace('Api')->group(function () { // Route::post('tests', 'Api\UserControl...
laravel--设置不需要csrfToken校验的接口
weixin_30807779的博客
02-02 725
一般是前后端分离或者支付宝响应的时候需要不设置csrfToken校验的接口,laravel推荐使用passport安全校验设计接口 转载于:https://www.cnblogs.com/mrszhou/p/8407224.html...
Laravel设置某个URL跳过csrf例外的方法
wgchen
09-29 424
阅读目录 1、 首先打开项目下的/app/Http/Middleware目录的VerifyCsrfToken.php文件 2、 编辑添加我们不需要验证csrf的URL地址 <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /*
laravel csrf使用以及禁用
Grave burn paper
09-24 663
方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: php namespace App\Http\Middleware; use Closure; use
laravel URL 不做 CSRF 安全校验的两种方法
钚该钚想
04-22 738
任何时候在 Laravel 应用定义 HTML 表单,都需要在表单引入 CSRF 令牌字段,这样 CSRF 保护间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数csrf_field: 如: <form method="POST" action="/profile"> {{ csrf_field() }} ... &lt...
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2558
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
Laravel框架对csrf攻击的处理方式
最新发布
MminQAQ的博客
06-28 480
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 664
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进...
LaravelCSRF攻击
瑾的日常
08-01 375
1、什么是CSRF 攻击? CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单添加如下HTML代码即可在请求带上Token: <inpu
掌握Laravel模型的定义和使用和Laravel框架对CSRF攻击的处理方式实验总结
05-25
一、Laravel模型的定义和使用 1. 定义模型 在Laravel,我们可以通过使用Artisan命令`php artisan make:model ModelName`来创建一个模型,模型文件将会被创建在`app`目录下的`Models`文件夹。 2. 使用模型 在使用模型之前,需要先引入模型类。然后,我们就可以使用模型提供的方法进行数据库操作了。 例如,我们可以使用`all()`方法获取表所有记录: ``` use App\Models\ModelName; $models = ModelName::all(); ``` 我们也可以使用`find($id)`方法获取指定ID的记录: ``` $model = ModelName::find($id); ``` 二、Laravel框架对CSRF攻击的处理方式 CSRF(Cross-site request forgery)攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下,对某个网站发起非法请求。Laravel框架提供了一些内置的保护机制来防止CSRF攻击。 1. CSRF Token 在Laravel,每个表单都应该包含一个CSRF令牌,这个令牌会在用户访问站点时自动生成,并且包含在每个表单的隐藏字段。当用户提交表单时,Laravel会验证这个令牌是否有效。如果令牌无效,Laravel会抛出一个异常。 在表单,我们可以使用`csrf_field()`函数来生成CSRF令牌: ``` <form method="POST" action="/example"> {{ csrf_field() }} <!-- 表单字段 --> </form> ``` 2. X-CSRF-Token头 除了在表单使用CSRF令牌,还可以在AJAX请求使用X-CSRF-Token头。Laravel会自动在每个响应包含一个名为`X-CSRF-Token`的头部,我们可以在AJAX请求将这个头部带上。 例如,在AJAX请求,我们可以使用jQuery来设置X-CSRF-Token头部: ``` $.ajaxSetup({ headers: { 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') } }); ``` 在HTML头部,我们需要设置一个名为`csrf-token`的meta标签,以便获取CSRF令牌: ``` <meta name="csrf-token" content="{{ csrf_token() }}"> ``` 总之,Laravel提供了多种方式来防止CSRF攻击,开发者只需要按照要求使用相关的保护机制即可。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值