Laravel源码分析----CSRF处理

最新推荐文章于 2023-03-22 23:05:01 发布
最新推荐文章于 2023-03-22 23:05:01 发布
阅读量671 收藏
点赞数 1
分类专栏: PHP 文章标签: csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhyp/article/details/75105051
版权
本文探讨了跨站点请求伪造(CSRF)攻击的概念,以及Laravel框架如何有效地处理这种安全威胁。Laravel在开启session时为每个用户分配一个唯一的token,并通过VerifyCsrfToken中间件进行核心处理,包括特定请求类型的排除、单元测试状态检查和token验证。验证通过后,token会被存储在响应的cookie中,确保请求的安全性。
摘要由CSDN通过智能技术生成

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {
    $this->put('_token', Str::random(40));
}

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}
    • $this->isReading()判断请求是否是['HEAD', 'GET', 'OPTIONS']这三种请求。
    • $this->runningUnitTests()判断程序是否正在进行单元测试。
    • $this->inExceptArray()判断请求是否需要进行Crsf验证。
      • <
最低0.47元/天 解锁文章
csdnhyp
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel 源码分析---Pineline
math_chao的博客
05-12 1158
laravel 框架中,Illuminate\Pipeline\Pipeline 类是实现 laravel 中间件功能的重要工具之一。他的作用是,将一系列有序可执行的任务依次执行。也有人把这种功能成为管道模式,比如下面这篇文章的介绍: Laravel 中管道设计模式的使用 —— 中间件实现原理探究 今天我们就来探究一下 Pipeline 类的功能和源码。 Pipeline 的使用 Pi...
Laravel 源码分析---Container
math_chao的博客
05-07 1765
Container 简介 Container 是 laravel 框架的核心之一,laravel 框架中类的实例化、存储和管理都是由 Container 来负责的。laravel 里面的 Container 本质上是一个 IOC (Inversion of Control/控制反转) 容器,是用来实现依赖注入(DI/Dependency Injection)的。也有人把这种设计成为服务定位模式。...
Laravel中的CSRF
weixin_34124939的博客
07-14 134
跨站点请求伪造CSRF攻击 攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。 LaravelCSRF处理 在开启session时为每个session分配一个token public function regenerateToken() { $this->put('_token',...
laravel源码分析
weixin_43762261的博客
03-22 1109
make方法从容器中解析指定的值为实际的类,比如$app>make(Illuminate\\Contracts\\Http\\Kernel::class) 解析 App\\Http\\Kernel::class-> handle方法对http请求进行处理 实际上是handle中的sendRequestThroughRouter处理的http请求 首先,将request绑定到共享实例 ,执行$this->bootstrap()方法,运行给定的引导类数组$bootstrappers,这里很关键,包括了加载配置文
Laravel 源码分析---Application 对 ServiceProvider 的管理与使用
math_chao的博客
05-09 608
Laravel 框架中 ServiceProvider 的实例化、注册、启动、延迟加载等管理功能都是由框架的核心类 Application 来完成的。Application 是框架最核心的类,管理整个框架的启动、运行以及整个生命周期,并通过 ServiceProvider 将其他功能的模块载入框架。Application 是 Container 类的子类,所以也管理者框架中其他类的实例化、存储等功...
laravel篇之CSRF
李澎昆的博客
01-13 5291
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进行正...
Laravel开发-laravel-express
08-28
"laravel-express-master"这个文件名可能是项目的源码仓库,里面可能包含了完整的Laravel项目结构,包括配置文件、控制器、模型、视图、路由文件等,学习者可以通过分析和实践这些代码来深入了解Laravel的运作机制和...
商业源码-编程源码-天天水果店源码.zip
06-17
1. **Web开发框架**:源码可能基于某个流行的Web开发框架,例如Spring Boot、Django、Laravel或React,开发者需要了解这些框架的使用方法和架构原理。 2. **数据库设计**:源码中可能涉及到MySQL、PostgreSQL或其他...
商业源码-编程源码-GaGeB2B电子商务网站源码.zip
06-15
3. **源码分析**: 源码是软件开发的基础,理解源码可以帮助我们了解系统的架构、功能实现和编程技巧。分析源码可以学习到编程语言的应用、框架选择、数据库交互、用户界面设计等多个方面。 4. **编程语言**: 根据...
laravel5源码分析
03-19
laravel5源码详细分析,包括ORM、容器、队列等源码详解
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
laravelcsrf 防御机制详解,及对laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
laravel源码详解
07-21
本项目针对 laravel 5.4 各个重要模块的源码进行了较为详尽的分析,希望给 想要了解 laravel 底层原理与源码的同学一些指引。
商业源码-编程源码-08CMS小说系统 繁体UTF8.zip
06-14
3. **安全性**:商业源码在设计时会考虑安全因素,如防止SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等,确保网站数据的安全。 4. **性能优化**:商业源码通常经过优化,以提高页面加载速度和数据库查询效率,降低...
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1480
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
Laravel Database——Eloquent Model 源码分析(下)
cangqiong_xiamen的博客
08-11 274
获取模型 get 函数 public function get($columns = ['*']) { $builder = $this->applyScopes(); if (count($models = $builder->getModels($columns)) > 0) { $models = $builder->eagerLoadRelations($models); } return $builder->getM
Laravel 源码分析---概述与目录
math_chao的博客
05-23 726
laravel 自诞生以来,以其优雅简洁的语法、强大的功能得到了越来越多人的喜爱,也成为了目前最流行的PHP框架。 The PHP Framework For Web Artisans 声称专门为 Web 艺术家而开发的 laravel 框架,确实以非常优雅的方式实现了非常强大的功能,为 Web 开发提供了非常多的便利。并且 laravel 框架的基础上开发第三方没款并整合到 lar...
Laravel 源码解读
热门推荐
Mreden的博客
07-06 1万+
本文转载于:http://yuez.me/laravel-yuan-ma-jie-du/?utm_source=tuicool&utm_medium=referral Laravel 源码解读 为WEB艺术家创造的框架 由SitePoint发起的2015年最流行WEB框架的调查中,Laravel已巨大的优势获得了商用使用 数量、个人项目使用数量
laravel源码分析-队列Queue
Max一直在学习
01-07 599
laravel 源码分析具体注释见 https://github.com/FX-Max/source-analysis-laravel 前言 队列 (Queue) 是 laravel 中比较常用的一个功能,队列的目的是将耗时的任务延时处理,比如发送邮件,从而大幅度缩短 Web 请求和响应的时间。本文我们就来分析下队列创建和执行的源码。 队列任务的创建 先通过命令创建一个 Job 类,成功之后会创建如下文件 laravel-src/laravel/app/Jobs/DemoJob.php。 > ph.
python x-csrf-token
最新发布
05-13
在使用 Python 发送 HTTP 请求时,如果请求需要携带 CSRF Token 的话,可以在请求头中添加 "X-CSRF-Token" 字段,并将 Token 值作为其值发送。 以下是一个示例代码: ```python import requests # 假设 CSRF Token 存储在变量 csrf_token 中 csrf_token = "your_csrf_token_here" # 构造请求头 headers = { "X-CSRF-Token": csrf_token, "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3" } # 发送 POST 请求,并携带 CSRF Token response = requests.post(url, data=data, headers=headers) # 处理响应 ... ``` 请注意,CSRF Token 的获取方式因网站而异,一般情况下需要在登录后从响应中提取。另外,CSRF Token 的有效期也可能有限制,需要根据具体情况进行更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值