转载自此博客,只为收藏,别无它用
CSRF攻击原理及其防护
1、CSRF攻击是what?
CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。
2、Laravel中如何避免CSRF攻击
Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。
Laravel提供了一个全局帮助函数csrf_token(本地存放在D:\www\laravel5.1\vendor\laravel\framework\src\Illuminate\Foundation\helpers.PHP)来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:
- 1
- 1
该段代码等同于全局帮助函数csrf_field的输出:
- 1
- 1
在Blade模板引擎中还可以使用如下方式调用:
- 1
- 1
测试代码
我们在routes.php中定义如下代码:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
在浏览器中我们输入http://selfstudy.com/testCsrf,点击“Test”按钮,浏览器输出:
Success!
则表示请求成功,否则,如果我们定义GET路由如下:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
则点击“Test”按钮,则抛出TokenMismatchException异常。
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。如何避开验证,如上述代码,如何让其不通过CSRF验证。Laravel的CSRF可以在中间件(app/Http/Middleware/VerifyCsrfToken.php)的$except数组中加入需要排除验证的URL。
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
这样我们在访问http://selfstudy.com/testCsrf的时候就可以正常输出了。
3、X-CSRF-Token及其使用
如果使用Ajax提交POST表单,又该如何处理呢?我们可以将Token设置在meta中:
- 1
- 1
然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:
- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头,如果该值和Session中CSRF值相等则验证通过,否则不通过。
4、Laravel中CSRF验证源码分析
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEAD、GET、OPTIONS其中一种,则不做CSRF验证;
3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;
4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。
对应源码如下:
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 1
- 2
- 3
- 4
- 5
- 6
- 7
转载自注:tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。