Laravel基础-后台CSRF认证及验证码判断细节

最新推荐文章于 2023-03-09 10:00:51 发布
最新推荐文章于 2023-03-09 10:00:51 发布
阅读量873 收藏
点赞数
分类专栏: PHP框架 PHP开发 文章标签: laravel CSRF 验证码 表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ferre666/article/details/75094210
版权

一、CSRF认证:
CSRF为跨站请求伪造。为了防止跨站攻击,laravel制定了一套相关认证,具体细节可查看源码,当获取表单数据时,为避免报错,使用方式如下:

1、未使用CSRF认证报错信息如下:

TokenMismatchException in VerifyCsrfToken.php line 67:

2、解决方法:

<form action="" method="post"> 下加上如下认证代码:
   {{csrf_field()}}
   //即可通过认证



二、验证码处理,直接上源码分析:

    public function login(){
        if (!!$input = Input::all()){   
        //input:all()获取表单提交的所有数据

            //以下两句为了引入验证码类里生成的验证码字符
            $code  = new \Code();
            $_code = $code->get();

            if (strtoupper($input['code']) !== $_code){  
            //strtoupper()函数全部转化为大写

                return back()->with('msg','验证码error');  
                //back()助手函数:返回前一个页面
            }

        }else {
            return view('admin.login');
        }

    }
Ferre666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel开发-laravel-token
08-28
Laravel开发-laravel-token Laravel 4令牌管理
Laravel框架04:视图与CSRF攻击
Fulling的博客
02-27 386
Laravel框架04:视图与CSRF攻击 一、视图概述 二、变量分配与展示 三、模板中直接使用函数 四、循环与分支语法标签 五、模板继承、包含 1. 继承 2. 包含 六、外部静态文件引入 七、CSRF攻击概述 八、从CSRF验证中排除例外路由
laravel csrf验证总结
weixin_46044420的博客
09-17 525
laravel csrf验证总结 前言问题: laravel 在web路由下无论是表单提交啊 还是ajax请求啊 只要是请求方式不满足 ['HEAD', 'GET', 'OPTIONS'] 就会报419错误,原因是其自带开启csrf验证,防止csrf攻击 感兴趣的可以看看这部分源码:Illuminate\Foundation\Http\Middleware\VerifyCsrfToken 解决方式: 一.屏蔽csrf验证 部分屏蔽 App\Http\Middleware\VerifyCsrfToken.
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 596
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
laravel CSRF(2)
weixin_45844706的博客
04-17 118
laravel9 模板包含:语法:@include(模板文件名) 文件名不含后缀,语法类似view方法参数 注意:在引用模板文件时候一般饮用的是纯静态的模板,当引用的模板中有变量的话,非常容易出错,一般不推荐 一、CSRF(2) (1)CSRF验证机制与图形验证码的原理是一致的,都是将用户提交的值与session中的值进行对比,如果一致则通过,否则不通过; (2)...
信息安全之CSRF
绣花针
03-19 326
目录 一、简介 二、案例 三、防范 1.CSRF Token验证 2.人机交互 一、简介 跨站点请求伪造(Cross-Site Request Forgery),CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,如恶意发帖、修改密码、发邮件等,达到攻击目的。 CSRF有别于XSS,...
CSRF的攻击和防御
weixin_49527298的博客
06-27 566
CSRF:跨站请求伪造,伪造用户请求登录页面 CSRF攻击可以伪造当前用户的行为,让目标服务器以为请求为当前用户发起,并利用当前用户权限实现业务请求伪造。 CSRF攻击,先是攻击者伪造一个恶意攻击页面,当用户点击时会自动向当前用户的服务器提交一次伪造的业务请求,从而获取用户的信息。 CSRF攻击的条件:(1)用户处于登录状态 (2)伪造的链接与用户一致 (3)后台未对用户业务开展合法性做校验 CSRF攻击场景: (1)当用户时管理员,黑客通过获得管理员权限去添加和删除用户的信息 (2)当
安全认证中的CSRF
梁老师教你编程序
10-26 2046
正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从事先得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。而,跨域转发,是没有这个过程的。这个图说明,在浏览器向服务端请求页面时,服务端将自己生成的token,返回给了浏览器,然后在发送post的时候,浏览器就带有了token。如果是,第三方网站跳转过去,就是直接操作的界面,就算是有了cookie,认证通过了,但是因为没有这个请求字段,所以操作是无法成功的。
CSRF总结(一)
qq_43511094的博客
03-17 5013
文件包含漏洞相关知识总结 文件包含漏洞概念 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入 2. 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 常见文件包含函数 include() require() include_once
Laravel开发-cookie-csrf
08-27
Laravel开发-cookie-csrf Laravel4自定义过滤器用于防止多次提交表单及跨域提交表单
Laravel开发-no-post-data-laravel-middleware
08-28
Laravel开发-no-post-data-laravel-middleware 在某些情况下,当从表单发布数据时,Web服务器可能会丢失发布数据。如果用户上载的大型文件超出了Web服务器配置中设置的大小限制,则通常会发生这种情况。Laravel无法...
安全性测试--CSRF攻击
02-26
CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做...
【网络安全】CSRF详解
2201_75857562的博客
03-09 2548
跨站请求伪造,冒用Cookie中的信息,发起请求攻击。CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。为了更好的防御CSRF,最佳实践应该是结合上面总结的防御措施方式中的优缺点来综合考虑,结合当前Web应用程序自身的情况做合适的选择,才能更好的预防CSRF的发生。
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
java后端开发的博客,不仅仅是后端开发
07-05 2254
CSRF跨站请求伪造,全称Cross-site request forgery,是指利用受害者尚未失效的身份认证信息操作他们的账户以进行非法操作。
CSRF认证的几种方法
UncleGen的博客
07-17 3197
前言 在使用Django框架编写网页,使用AJAX技术进行前后端数据交互的时候会遇到csrf(Cross-site request forgery跨站请求伪造)问题,get请求不影响,post就需要csrf认证。 环境 Django 2.0.6 方法 在登陆表单中添加CSRF方法: &lt;form action="{% url 'login_check' %}" met...
CSRF 攻击的应对之道
java旅程
09-06 473
转载自:http://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 **CSRF 攻击实例**
3、登陆表单提交CSRF验证码
weixin_30951231的博客
01-23 382
1、表单提交,并将其提交到本页 (1) form 属性method为post方法,修改路由,使其接收post、get的请求 Route::any('/admin/login','Admin\LoginController@login'); (2)LoginController.php 修改login方法,根据不同的请求返回不同的内容 如果请求方法为get ,返回登陆页面;如果请求...
PHP项目部署-开启rewrite(伪静态)
Ferre666的博客
11-16 6656
TIPS:作者所用环境为2.4.25(Unix),不同版本配置应该会有所差异。1、httpd.conf配置。#LoadModule rewrite_module modules/mod_rewrite.so 去掉#TIPS:开启mod_rewrite即可实现Apache的伪静态功能。2、httpd.vhosts.conf配置。<VirtualHost *:80> ServerName ww
laravel 6 路由 禁用CSRF token
最新发布
05-30
虽然不建议禁用 LaravelCSRF 防护功能,但如果你非常确定自己的应用不需要 CSRF 防护,你可以在指定路由上禁用 CSRF token 验证。方法如下: 在 `app/Http/Middleware/VerifyCsrfToken.php` 中,找到 `$except`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值