laravel_基础_路由及CSRF防护等

最新推荐文章于 2022-02-25 12:53:34 发布
最新推荐文章于 2022-02-25 12:53:34 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: PHP laravel 文章标签: csrf laravel路由
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_yasin/article/details/51763068
版权
PHP 同时被 2 个专栏收录
21 篇文章 0 订阅
订阅专栏
laravel
11 篇文章 0 订阅
订阅专栏

【说明:本笔记参照laravel学院帖子进行整理】

1.laravel基本的路由种类很多,常用的有any、get、post。

get

Route::get('/hello',function(){
    return "Hello Laravel[GET]!";
});

post

Route::get('/testPost',function(){
    $csrf_token = csrf_token();
    $form = <<<FORM
        <form action="/hello" method="POST">
            <input type="hidden" name="_token" value="{$csrf_token}">
            <input type="submit" value="Test"/>
        </form>
FORM;
    return $form;
});

Route::post('/hello',function(){
    return "Hello Laravel[POST]!";
});

any

Route::any('/hello',function(){
    return "Hello Laravel!";
});

2.路由参数使用

必选参数

Route::get('/hello/{name}',function($name){
    return "Hello {$name}!";
});

多参数必须

Route::get('/hello/{name}/by/{user}',function($name,$user){
    return "Hello {$name} by {$user}!";
});

注意:必选参数在function里不用给默认值,但是访问地址必须按照必选 。

可选参数

Route::get('/hello/{name?}',function($name="Laravel"){
    return "Hello {$name}!";
});

注意:可选参数的用法在function里必须给一个默认值否则报错。

正则约束参数

Route::get('/hello/{name?}',function($name="Laravel"){
    return "Hello {$name}!";
})->where('name','[A-Za-z]+');

说明:如果路由参数不是大小写字母则报错路由不存在。

全局正则约束
可以在\app\Providers\RouteServiceProvider的boot方法中做如下定义:

public function boot(Router $router)
{
    $router->pattern('name','[A-Za-z]+');
    parent::boot($router);
}

说明:这样配置后所有凡是带有{name}参数的路由,name参数都需要匹配必须是大小写字母。从而不用在每一个路由定义的时候都配置这个正则匹配了。

3.路由起别名

使用as关键字来给路由起别名

Route::get('/hello/qwe',['as'=>'h_qwe',function(){
    return 'Hello qwe!';
}]);

Route::get('/hello',function(){
   return redirect()->route('h_qwe');
});

这样当访问’/hello’路由的时候就会跳转到’/hello/qwe’
还可以带参数

Route::get('/hello/qwe/{id}',['as'=>'h_qwe',function($id){
    return 'Hello qwe!id: '.$id;
}]);

Route::get('/hello',function(){
   return redirect()->route('h_qwe',123);
});

这里写图片描述

4.路由分组

路由分组包括中间件、命名空间、子域名、路由前缀等。使用group关键字
中间件

php artisan make:middleware AgeMiddleware

这样会在/app/Http/Middleware目录下生成一个AgeMiddleware.php文件,打开该文件编辑AgeMiddleware类的handle方法如下:

    public function handle($request, Closure $next)
    {
        if($request->input('age')<18) {
            return redirect()->route('refuse');
        }
        return $next($request);
    }

然后我们打开/app/Http/Kernal.php文件,新增AgeMiddleware到Kernel的$routeMiddleware属性:

    protected $routeMiddleware = [
        'auth' => \App\Http\Middleware\Authenticate::class,
        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
        'age' => \App\Http\Middleware\AgeMiddleware::class,
    ];

在Route.php中

Route::group(['middleware'=>'age'],function(){
    Route::get('/write/yellowPage',function(){
        //使用Age中间件
    });
    Route::get('/update/yellowPage',function(){
       //使用Age中间件
    });
});

Route::get('/age/refuse',['as'=>'refuse',function(){
    return "未成年人禁止入内!";
}]);

这样在浏览器输入http://dev.mylaravel.com/write/yellowPage?age=12就会跳转到http://dev.mylaravel.com/age/refuse

命名空间
默认情况下,routes.php中的定义的控制器位于App\Http\Controllers命名空间下,所以如果要指定命名空间,只需指定App\Http\Controllers之后的部分即可:

Route::group(['namespace' => 'Test'], function(){
    // 控制器在 "App\Http\Controllers\Test" 命名空间下

    Route::group(['namespace' => 'DOCS'], function()
    {
        // 控制器在 "App\Http\Controllers\Test\DOCS" 命名空间下
    });
});

子域名
子域名通过关键字‘domain’这里省略。

路由前缀

Route::group(['prefix'=>'test'],function(){
    Route::get('write',function(){
        return "Write test";
    });
    Route::get('update',function(){
        return "Update test";
    });
});

路由前缀带参数

Route::group(['prefix'=>'test/{version}'],function(){
    Route::get('write',function($version){
        return "Write test V: ".$version;
    });
    Route::get('update',function($version){
        return "Update test V: ".$version;
    });
});

访问:http://dev.mylaravel.com/test/5.2/write
这里写图片描述

5.CSRF攻击

laravel 中提供一个全局函数 csrf_token() 获取 token,你只需要在试图文件里增加:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

也可以直接使用全局帮助函数 csrf_field(),这个函数直接输出整个input。

{!! csrf_field() !!}

从CSRF验证中排除指定URL
也就是关闭个别的方法的csrf验证
从 app/Http/Middleware/VerifyCsrfToken.php 中间件中将要排除的请求URL添加到$except属性数组中:

        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];

X-CSRF-Token及其使用
加入你的表单提交需要ajax请求怎么办?那么就需要这个方法了。
这个原理是将token设置到meta标签中。

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:
也就是在layout试图文件中的script代码部分添加以下代码即可。那么所有继承自layout文件的页面的ajax请求都会在这个设置的基础上进行请求。从而不用每个页面试图文件都写这个设置。当然你非要每个页面都要写也是可以的。呵呵~

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头,如果该值和Session中CSRF值相等则验证通过,否则不通过。

X-XSRF-Token及其使用
除此之外,Laravel还会将CSRF的值保存到名为XSRF-TOKEN的Cookie中,然后在VerifyCsrfToken中间件验证该值,当然,我们不需要手动做任何操作,一些JavaScript框架如Angular会自动帮我们实现。

laravel CSRF验证原理分析
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:

public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}

2)然后重点分析VerifyCsrfToken中间件(Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php)的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEAD、GET、OPTIONS其中一种,则不做CSRF验证;

3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;

4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。

对应源码如下:

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     *
     * @throws \Illuminate\Session\TokenMismatchException
     */
    public function handle($request, Closure $next)
    {
        if (
            $this->isReading($request) ||
            $this->runningUnitTests() ||
            $this->shouldPassThrough($request) ||
            $this->tokensMatch($request)
        ) {
            return $this->addCookieToResponse($request, $next($request));
        }

        throw new TokenMismatchException;
    }

:tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。

csdn_yasin
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laravel框架中表单请求类型和CSRF防护实例分析
12-20
本文实例讲述了laravel框架中表单请求类型和CSRF防护。分享给大家供大家参考,具体如下: laravel中为我们提供了绑定不同http请求类型的函数。 Route::get('/test', function () {}); Route::post('/test', ...
thinkphp5 域名路由
qq_42683219的博客
01-25 1549
本片博客的内容和thinkphp5.0完全开发手册中的差不多一样,所以内容我照搬,不过这里主要侧重如何配置实现。 ThinkPHP支持完整域名、子域名和IP部署的路由和绑定功能,同时还可以起到简化URL的作用。 要启用域名部署路由功能,首先需要开启 ‘url_domain_deploy’ => true 定义域名部署规则支持两种方式:动态注册和配置定义。 动态注册 可以在应用的公共文...
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 595
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrf在laravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
Laravel 学习笔记——路由(中间件与路由组)
weixin_34417635的博客
09-27 252
2019独角兽企业重金招聘Python工程师标准>>> ...
laravel csrf排除路由,禁止,关闭指定路由
jimgethelp的博客
09-09 4874
百度了下,发现别的教程里需要更改文件,实际上很简单,官方提供了接口可以用来设置; laravel的csrf防范是通过app/http/Middleware目录下的中间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\Http\Middleware; us
laravel csrf排除路由,禁止,关闭指定路由的例子
01-03
有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken ...
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
对laravel的csrf 防御机制详解,及对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Laravel--CSRF的方法
Iam8600的博客
11-17 8702
                                     Laravel--CSRF的方法     在框架中一般情况下报这种错误的都是csrf防攻击未关闭   那么我们可以关闭这种csrf有以下两种方法:   第一种 打开文件路径:app\Http\Kernel.php 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrf...
swagger csrf 404_laravel运行的方式,处理csrf路由配置
weixin_39999116的博客
10-22 1193
命令行:apache设置虚拟主机:或者通过LAMP的方式设置,项目目录是根目录/publicCSRF:laravel处理scrf:使用session,是针对每台机器的,互相隔离的。laravel的csrf的文件路径,web.php网站的路由入口,默认有csrf验证,网站需要防这个api.php的api接口入口,没有csrf验证,接口使用access_token之类的加密验证,因为接口没法给sess...
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
01-03
程序内容相关:Laravel+ajax+CSRF 好吧还有好多能扯出来好像有点多而且微不足道得像面前鼠标垫上的纤维不重要所以就不扯了啊我废话好多 贴上自己的解决办法,两行内容 1.在页面上添加 <meta name=csrf-token content={{ csrf_token() }}> 2.然后在页面的script标签{{– 这句是废话,但是,啊我的博客好短不想删 – }}中添加 $.ajaxSetup({headers: {'X-CSRF-TOKEN': $('meta[name=csrf-token]').attr('content')}}); 完美。 以上这篇L
laravel中关闭CSRF的方法
woshihaiyong168的博客
11-18 1223
在框架中一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
laravel傻瓜手册1(安装,路由,中间件,CSRF
qq_38231822的博客
01-14 185
1.laravel安装(laravel8 composer命令) composer create-project --prefer-dist laravel/laravel laravel 2.MVC位置(精简常用) (1)控制器所在位置:App/Http/Controllers中 (2)模型类所在位置:App/Models中 (3)视图层所在位置:resources/view中 3.路由(laravel必须配路由访问,否则无法访问) 路由一般都写在route/web.php中 (1)普通路由:Ro
Laravel 框架指定路由关闭 csrf
阿远:
05-26 2167
修改 app\Http\Middleware\VerifyCsrfToken.php 内容: <?php namespace App\Http\Middleware;use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;class VerifyCsrfToken extends B
laravel的 csrf 防御机制详解,form 中 csrf_token() 的存在
Jesse
06-17 1万+
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。二、Laravel的CSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(t
laravel_基础_简单博客_RESTFul风格控制器(resource)
热门推荐
csdn_yasin的博客
06-29 1万+
1.创建控制器php artisan make:controller PostController控制器里方法:<?php namespace App\Http\Controllers; use Illuminate\Http\Request; use App\Http\Requests; class PostController extends Controller
lumen_错误—php artisan—Dotenv...错误
csdn_yasin的博客
07-17 7665
错误信息: PHP Fatal error: Uncaught Dotenv\Exception\InvalidFileException: Dotenv values containing spaces must be surrounded by quotes. in /path/to/your/wwwdir/project/vendor/vlucas/phpdotenv/src/Loa...
Docker-07-Docker-compose搭建lnmp环境
csdn_yasin的博客
02-25 6379
说明 Docker-compose搭建lnmp(NGINX+MySQL+PHP+Redis)环境 Docker-compose搭建lnmp(NGINX+PHP+Redis)环境 Docker-compose网络 操作步骤 》lnmp环境(NGINX+MySQL+PHP+Redis)搭建 创建目录和文件 [admin@192 lnmp]$ tree . ├── docker-compose.yml ├── mysql57 │   └── Dockerfile ├── nginx │
laravel-users表添加手机号
csdn_yasin的博客
06-24 5183
1.在脚本里添加 $table->string('mobile', 13); 最终: Schema::create('users', function (Blueprint $table) { $table->increments('id'); $table->string('name'); $t

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值