浅谈Laravel框架的CSRF

最新推荐文章于 2023-11-03 12:45:30 发布
最新推荐文章于 2023-11-03 12:45:30 发布
阅读量1.3k 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/soonfly/p/4913459.html
版权

前文

CSRF攻击和漏洞的参考文章:

http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

 

Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:

 

 

方法一

打开文件:app\Http\Kernel.php

把这行注释掉:

'App\Http\Middleware\VerifyCsrfToken'

 

方法二

打开文件:app\Http\Middleware\VerifyCsrfToken.php

修改为:

复制代码 
<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 使用CSRF //return parent::handle($request, $next); // 禁用CSRF return $next($request); } }
复制代码

 

CSRF的使用有两种,一种是在HTML的代码中加入:

<input type="hidden" name="_token" value="{{ csrf_token() }}" />

另一种是使用cookie方式。

使用cookie方式,需要把app\Http\Middleware\VerifyCsrfToken.php修改为:

复制代码 
<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { return parent::addCookieToResponse($request, $next($request)); } }
复制代码

使用cookie方式的CSRF,可以不用在每个页面都加入这个input的hidden标签。

 

当然,也可以对指定的表单提交方式使用CSRF,如:

复制代码 
<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // Add this: if($request->method() == 'POST') { return $next($request); } if ($request->method() == 'GET' || $this->tokensMatch($request)) { return $next($request); } throw new TokenMismatchException; } }
复制代码

只对GET的方式提交使用CSRF,对POST方式提交表单禁用CSRF

 

 

修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,重写addCookieToResponse(...)方法做到。

 

 

另外,如需要对指定的页面不使用CSRF,可以参考如下文章:

http://www.camroncade.com/disable-csrf-for-specific-routes-laravel-5/

转载于:https://www.cnblogs.com/soonfly/p/4913459.html

dbul13262
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Laravel 框架指定路由关闭 csrf
阿远:
05-26 2178
修改 app\Http\Middleware\VerifyCsrfToken.php 内容: <?php namespace App\Http\Middleware;use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;class VerifyCsrfToken extends B
laravel免除csrf验证
xiaonanhaijing的博客
03-20 258
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array
[PHP] - Laravel - CSRF token禁用方法
aili2460的博客
06-05 286
前文 CSRF攻击和漏洞的参考文章: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法: 方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\Ver...
TokenMismatchException in VerifyCsrfToken.php
pardon110的博客
05-21 438
在做laravel项目时,报如下错误TokenMismatchException in VerifyCsrfToken.php line 53:in VerifyCsrfToken.php line 53at VerifyCsrfToken-&gt;handle(object(Request), object(Closure))at call_user_func_array(array(objec...
php项目如何防止CSRF(跨站攻击)
resilient的博客
11-17 481
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 防御CSRF攻击: 目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。 (1)
mark
dbul13262的博客
07-17 4852
http://tieba.baidu.com/p/3001782525 转载于:https://www.cnblogs.com/soonfly/p/3850352.html
laravel 5.4 报错 TokenMismatchException in VerifyCsrfToken.php
skalpat的博客
12-15 665
♩. 报错情况 form 表单进行 post 方式提交数据时,遇到如下的报错情况 TokenMismatchException  in VerifyCsrfToken.php line 67: in VerifyCsrfToken.php line 67   ♪. 原因 Laravel 推荐在全局注册 VerifyCsrfToken 的 Middleware ,对所有 Post、Put...
CSRF攻击(3), 绕过token检测
最新发布
探测???
11-03 501
由于token是自包含的,并且通常不依赖于特定的域或会话,它们可以用于不同域之间的身份验证,这在构建微服务、单页面应用(SPA)、移动应用或跨域API服务时特别有用。是基于服务器的身份验证机制。Token验证(尤其是JWT)确实在某些方面提供了比传统Session验证更多的灵活性和扩展性,特别是在构建跨域、微服务架构、无服务器架构、单页面应用(SPA)和移动应用等现代Web应用时。总结来说,选择Session还是Token,应该根据应用的具体需求、预期的扩展性、开发的复杂性以及安全性需求来决定。
编译安装lighttpd-1.4.20
长风
01-11 2046
1:下载lighttpd(1.4.20) 下载地址:http://www.lighttpd.net/download/ 2:解缩 tar xzvf lighttpd-1.4.20 3:cd lighttpd-1.4.20 4: ./configure --prefix=/usr/local/lighttpd 出现错误configure: error: bzip2-headers and/...
一个拿到人人网和淘宝网offer的大四学生的Android学习经历
weixin_34148508的博客
12-05 123
本来早就应该整理好的,但是最近一直杂事比较多,现在在家,我家不能上网,在亲戚家用网,总算整理好了。我也着急啊。因为过几天就要去实习了,所以,今天无论如何,总算整理好了。高兴ing....我整理的东西呢,都是我从8月1号开始写得,我基本都看过,我希望学习安卓开发的朋友都看看,很好的。不知说什么了,大家自己看看, 有能帮上您的,是我最大的荣幸。下面附上我的联系方式,有问题的可以联系我哈。QQ:4212...
Whoops, looks like something went wrong
dbul13262的博客
10-16 4204
Whoops,lookslikesomethingwentwrong. 这是由于访问laravel项目报错的,解决几种可能出现的错误。 1)打开:D:\java\wamp\www\subway\app\config\app.php 修改:'debug' => true, debug基本为true 2)打开debug后出现这个错误,报错:OpenSSL did not...
对话框 Android Dialog
dbul13262的博客
11-18 2953
http://android.yaohuiji.com/archives/655 转载于:https://www.cnblogs.com/soonfly/archive/2011/11/18/2254463.html
laravel】postman测试遇到csrf校验怎么办?
echo的PHP开发
03-17 1668
因为laravelcsrf校验,使用postman测试,,访问一直报错,419 | Page Expired,如下 解决方法有下: 一、CSRF 白名单 在这个文件下增加请求地址。 二、测试时,一次解决的方法 注:仅测试时开启 如图,kernal.php文件注释这一行,关掉csrf中间件。 以上操作后,再次进行测试,成功了~ ...
postman使用csrf token
qq_23903863的博客
03-25 5472
1、在请求Tests 加入如下代码: var csrf_token = postman.getResponseCookie("csrftoken").value postman.clearGlobalVariable("csrftoken"); postman.setGlobalVariable("csrftoken", csrf_token); pm.environment.get("va...
laravel报错:TokenMismatchException in VerifyCsrfToken.php
铁柱的博客
11-17 1万+
这个错误是刚学习Laravel的时候碰到的,只是当时还没开始写博客,一直也没记录下来,今天下午又碰到了这个问题,趁着这会儿没啥事,赶紧总结下。一、为什么报这个错误答:这是由于laravel框架自带的csrf_token防护中间件的原因。这个中间件的位置在/app/middleware/VrifyCsrfToken.php。这个中间件的作用就是为了过滤Post请求。      Laravel自动为每个
Laravel 5禁用csrf_token
红壶吃猬队的博客
03-12 620
在app\Http\Kernel.php中,将“App\Http\Middleware\VerifyCsrfToken”一行注释掉; 在App\Http\Middleware\VerifyCsrfToken.php中,将“return parent::handle($request, $next);”一行改为“return $next($request);”; (5.1及以上版本用)在App\H...
通过Postman进行post请求时传递X-XSRF-TOKEN
热门推荐
如是说的博客
08-28 2万+
前言介绍 这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cook...
Nginx鉴权,验证token
u010741032的博客
06-17 8382
Nginx集成Lua脚本,对静态资源文件进行鉴权,防止非法访问
laravel csrf排除路由,禁止,关闭指定路由
jimgethelp的博客
09-09 4921
百度了下,发现别的教程里需要更改文件,实际上很简单,官方提供了接口可以用来设置; laravelcsrf防范是通过app/http/Middleware目录下的中间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\Http\Middleware; us
深入浅出Laravel 4框架入门
请注意,虽然本书出版于2014年,Laravel框架目前已经发展到了更高级别的版本(如Laravel 8),但Laravel 4的基础概念和许多核心特性仍然适用于新版本,因此对于理解Laravel框架的整体架构和工作原理仍具有参考价值。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值