Laravel文档梳理3、CSRF保护

于 2022-02-15 14:31:51 发布
阅读量394 收藏
点赞数
分类专栏: Laravel框架 文章标签: laravel php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ldr1109/article/details/122944046
版权

前言:Laravel文档梳理,仅作为记录后看,无关其他。


1、Laravel是如何规避跨站伪造请求的?
生成CSRF token,验证用户是否为实际的发出者用户。

2、如何生成CSRF token
<?php echo csrf_field(); ?>

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

也可以在blade模板中使用:
{{ csrf_field() }}

3、通常我们不需要验证这个token,那么,它是怎么实现的?
VerifyCsrfToken中间件,会自动验证请求与session中的token是否一致。

4、如果有些路由你不想被CSRF保护,怎么设置?
在VerifyCsrfToken中间件中,添加$expect属性,排除URI
<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * URIs 应被 CSRF 验证执行。
     *
     * @var array
     */
    protected $except = [
        'stripe/*',
    ];
}

5、VerfifyCsrfToken只会检查post提交的参数方式么?还有哪种也会检查?
标头中的X-CSRF-TOKEN。比如如下:
<meta name="csrf-token" content="{{ csrf_token() }}">

这种情况,通常ajax处理会用到:
$.ajaxSetup({
        headers: {
            'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
        }
});

6、Laravel还会在哪里保存CSRF TOKEN?
XSRF-TOKEN cookie中

Ps:你也可以使用cookie值来设置X-XSRF-TOKEN请求标头

7、为什么要进行请求方法伪造?
因为html表单中没有支持put  patch 或 delete的动作,如果你非要使用这几种请求方法,那就必须伪造。

8、举例说明请求方法伪造实例
<form action="/foo/bar" method="POST">
    <input type="hidden" name="_method" value="PUT">
    <input type="hidden" name="_token" value="{{ csrf_token() }}">
</form>

也可以使用辅助函数:
<?php echo method_field('PUT'); ?>

在blade模板引擎中:
{{ method_field('PUT') }}


9、抛出404错误的方法
方法一:辅助函数  abort(404)
方法二:手动抛出 Symfony\Component\HttpFoundation\Exception\HttpException

Ps: 辅助函数只是简单地抛出一个带有指定状态码的 
Symfony\Component\HttpKernel\Exception\NotFoundHttpException
 

愤世大魔头
关注
专栏目录
Laravel基础之CSRF保护
蛐蛐的博客
11-07 845
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序中定义HTML表单时,都应在表单中包含一个隐藏的CSRF令牌字段,以便CSRF保护中间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
Laravel框架对csrf攻击的处理方式
最新发布
MminQAQ的博客
06-28 508
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
Laravel CSRF保护
Stussy_Cn
04-24 420
Laravel CSRF保护
Laravel VerifyCsrfToken问题
carter_yu的博客
01-07 1030
问题场景 Laravel网络请求时,忽略CSRF攻击,直接进行访问。 解决方法 打开 app\Http\Middleware\VerifyCsrfToken.php 文件,找到$except,把不需要的验证的访问加入 protected $except = [ //http://www.&amp;&amp;&amp;.com/weixinChargeNotify 取消了验证 ...
Laravel VerifyCsrfToken csrftoken 验证
太子的博客
08-28 660
取消csrftoken验证 /laravel/app/Http/Middleware/VerifyCsrfToken.php /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ // 'myhomeland/*', ...
laravel报错:TokenMismatchException in VerifyCsrfToken.php
热门推荐
铁柱的博客
11-17 1万+
这个错误是刚学习Laravel的时候碰到的,只是当时还没开始写博客,一直也没记录下来,今天下午又碰到了这个问题,趁着这会儿没啥事,赶紧总结下。一、为什么报这个错误答:这是由于laravel框架自带的csrf_token防护中间件的原因。这个中间件的位置在/app/middleware/VrifyCsrfToken.php。这个中间件的作用就是为了过滤Post请求。      Laravel自动为每个
Laravel 5.5 的 CSRF 保护
彳亍
06-23 1035
简介CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。Laravel 可以轻松地保护应用程序免受 跨站请求伪造 (CSRF) 的攻击。Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。任何情况下当你在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSR...
laravel篇之CSRF
李澎昆的博客
01-13 5313
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进行正...
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到...
laravel 5.4 报错 TokenMismatchException in VerifyCsrfToken.php
skalpat的博客
12-15 684
♩. 报错情况 form 表单进行 post 方式提交数据时,遇到如下的报错情况 TokenMismatchException  in VerifyCsrfToken.php line 67: in VerifyCsrfToken.php line 67   ♪. 原因 Laravel 推荐在全局注册 VerifyCsrfToken 的 Middleware ,对所有 Post、Put...
Laravel学习之VerifyCsrfToken 报错解决方法详解
qq_32506555的博客
09-08 3502
本文和大家分享的主要是Laravel VerifyCsrfToken 报错问题相关内容,一起来看看吧,希望对大家学习Laravel有所帮助。   报错情况   form 表单进行 post 方式提交数据时,遇到如下的报错情况. TokenMismatchException  in VerifyCsrfToken.php line 67: in VerifyCsrfToken
php verifyhandle,Laravel框架中VerifyCsrfToken报错问题的解决
weixin_35762215的博客
04-09 187
phpLaravel框架中VerifyCsrfToken报错问题的解决前言本文主要给大家介绍了关于Laravel框架中VerifyCsrfToken报错问题的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。报错情况form 表单进行 post 方式提交数据时,遇到如下的报错情况.TokenMismatchException in VerifyCsrfToken.ph...
Laravel VerifyCsrfToken 报错解决
u011415782的专栏
02-08 8748
♩. 报错情况 form 表单进行 post 方式提交数据时,遇到如下的报错情况 TokenMismatchException in VerifyCsrfToken.php line 67: in VerifyCsrfToken.php line 67 at VerifyCsrfToken-&gt;handle(object(Request), object(Closure)) ...
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 683
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
csrf攻击_无状态Spring安全性第1部分:无状态CSRF保护
cunfen0516的博客
12-16 167
csrf攻击 如今,随着RESTful架构变得越来越标准,可能值得花一些时间重新考虑当前的安全方法。 在这个小系列的博客文章中,我们将探索一些以无状态方式解决与网络相关的安全问题的相对较新的方法。 这第一篇文章是关于保护您的网站免受跨站请求伪造(CSRF)的攻击。 总结:什么是跨站点伪造? CSRF攻击基于挥之不去的身份验证Cookie。 在登录或以其他方式标识为网站上的唯一身份访问者之后,该...
laravel5.2+layui图片上传及VerifyCsrfToken报错问题的解决
hgb24660的博客
10-09 708
自己的 Laravel5.2 框架项目中,希望集成 Layer 的图片上传功能 但是在 ajax(POST) 提交请求时,一直显示 500 报错,出现了VerifyCsrfToken报错问题的相关内容,享出来供大家参考学习 报错情况 原因 忽视了 CSRF 的限制,Laravel 推荐在全局注册 VerifyCsrfToken 的 Middleware ,对所有 Post,Put,Delete ...
Laravel5中Cookie的使用
weixin_34186931的博客
05-03 440
今天在Laravel框架中使用Cookie的时候,碰到了点问题,自己被迷糊折腾了半多小时.期间研究了Cookie的实现类,也在网站找了许多的资料,包括问答。发现并没有解决问题。网上的答案都是互相抄袭,互相转载。其实并没有什么用处。好在最后,我找到了解决方法。奔着为广大Laravel爱好者和开发人员负责的精神,同时也希望大家在使用Cookie时少走弯路,在这里把在Laravel中Cookie的设置和...
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2589
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
laravel 6 路由 禁用CSRF token
05-30
虽然不建议禁用 LaravelCSRF 防护功能,但如果你非常确定自己的应用不需要 CSRF 防护,你可以在指定路由上禁用 CSRF token 验证。方法如下: 在 `app/Http/Middleware/VerifyCsrfToken.php` 中,找到 `$except`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值