【PHP框架 | Laravel8 系列5】 - 视图与CSRF保护

最新推荐文章于 2023-07-09 00:10:13 发布
最新推荐文章于 2023-07-09 00:10:13 发布
阅读量505 收藏
点赞数
分类专栏: PHP # Laravel 文章标签: php csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35453862/article/details/127555804
版权
PHP 同时被 2 个专栏收录
60 篇文章 23 订阅
订阅专栏
Laravel
7 篇文章 1 订阅
订阅专栏

前言:之前在学习并使用 Laravel 框架过程中,全是碎片化掌握,现在重新学习并记录一次学习的过程。

本文内容对应 Laravel8.* 版本。


Laravel 直达入口:

一、视图

Laravel 的视图文件存放于 resources/views 目录中。

1.1 创建视图

<!-- View stored in resources/views/greeting.blade.php -->

<html>
    <body>
        <h1>Hello, {{ $name }}</h1>
    </body>
</html>

将上述代码保存至 resources/views/greeting.blade.php 文件后,就可以通过 view 助手函数返回。


view 助手函数的第一个参数为 视图模板的名称,第二个参数为可供视图的数据数组。


Route::get('/', function () {
    return view('greeting', ['name' => 'James']);
});

也可将模板保存至 views 的子目录。使用 点 . 引用嵌套视图。

return view('admin.profile', $data);

1.2 判断视图是否存在

use Illuminate\Support\Facades\View;

# 如果存在,则会返回 true
if (View::exists('emails.customer')) {
    //
}

1.3 向视图传递数据

  1. 使用 view 助手函数的第二个参数

  2. 使用 view 助手函数链式调用 with 方法

    return view('greeting')->with('name', 'Victoria');

1.4 与所有视图共享数据

有时,有一些公共数据需要在所有页面都展示,这时,你就可以在 服务提供器的 boot 方法中调用视图门面的 share 方法。例如

<?php

namespace App\Providers;

use Illuminate\Support\Facades\View;

class AppServiceProvider extends ServiceProvider
{
    /**
     * Register any application services.
     *
     * @return void
     */
    public function register()
    {
        //
    }

    /**
     * Bootstrap any application services.
     *
     * @return void
     */
    public function boot()
    {
        View::share('key', 'value');
    }
}

二、视图合成器

视图合成器是调用视图时的回调或者类方法。在视图即将渲染时执行


默认没有存放 视图合成器 的目录,例如可以新建并存放在 app/Http/View/Composers 目录中。


使用 View 门面调用 composer 方法,即可在视图渲染之前被调用。


2.1 创建视图合成器

接下来的示例步骤是:

  1. 创建服务提供者并注册
  2. 在服务提供者的 boot 方法中,调用 composer 方法,定义视图合成器
  3. 定义视图合成器调用类

  1. 创建服务提供者,并在 config/app.php 文件中的 providers 数组中注册

    <?php

namespace App\Providers;

use Illuminate\Support\Facades\View;
use Illuminate\Support\ServiceProvider;

class ViewServiceProvider extends ServiceProvider
{
    /**
     * Register any application services.
     *
     * @return void
     */
    public function register()
    {
        //
    }

    /**
     * Bootstrap any application services.
     *
     * @return void
     */
    public function boot()
    {
        
        # 2. 在服务提供者的 `boot` 方法中,调用 `composer` 方法,定义视图合成器
        
        // Using class based composers...
        View::composer(
            'profile', 'App\Http\View\Composers\ProfileComposer'
        );

        // Using Closure based composers...
        View::composer('dashboard', function ($view) {
            //
        });
    }
}

  2. 定义视图合成器调用类

    <?php

namespace App\Http\View\Composers;

use App\Repositories\UserRepository;
use Illuminate\View\View;

class ProfileComposer
{
    /**
     * The user repository implementation.
     *
     * @var UserRepository
     */
    protected $users;

    /**
     * Create a new profile composer.
     *
     * @param  UserRepository  $users
     * @return void
     */
    public function __construct(UserRepository $users)
    {
        // Dependencies automatically resolved by service container...
        $this->users = $users;
    }

    /**
     * Bind data to the view.
     *
     * @param  View  $view
     * @return void
     */
    public function compose(View $view)
    {
        $view->with('count', $this->users->count());
    }
}

所有的视图合成器都会通过 服务容器 进行解析,所以你可以在视图合成器的构造函数中类型提示需要注入的依赖项。


2.2 将视图合成器添加到多个视图

通过 composer 方法的第一个参数传入 视图数组,就可以将多个视图添加到视图合成器中。


通过 composer 方法的第一个参数传入 星号 *,就可以将所有视图添加到视图合成器中。

# 多个
View::composer(
    ['profile', 'dashboard'],
    'App\Http\View\Composers\MyViewComposer'
);

# 所有
View::composer('*', function ($view) {
    //
});

三、视图构造器

与视图合成器不同的是,视图构造器在 视图实例化之后执行。


其他使用方法与视图合成器相同。


使用 View 门面的 creator 方法生成视图构造器。

View::creator('profile', 'App\Http\View\Creators\ProfileCreator');

四、视图优化

官网说的很明白,恩。😂


总结一下就是:

  • 视图如果没有被编译,则会进行编译。
  • 视图如果已经被编译,则会比较是否被修改,如果被修改则重新编译。

4.1 视图预编译

# 控制台命令,预编译所有视图文件
php artisan view:cache

4.2 清除视图缓存

# 控制台命令,清除视图缓存
php artisan view:clear

五、CSRF 保护

CSRF 是一种跨站请求伪造的恶意攻击,凭借已通过身份验证的用户来运行未经过授权的命令。 如何防止 CSRF 攻击


Laravel 为每个用户的会话生成一个 CSRF 令牌,该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。

5.1 生成令牌

在 HTML 表单中,包含一个隐藏的 csrf 标记字段即可,提交后,在 web 中间件线里的 VerifyCsrfToken 中间件会自动验证请求的令牌与存储在会话中的令牌是否匹配。

<form method="POST" action="/profile">
    @csrf
    ...
</form>

5.2 白名单

官网的举例场景在实战中确实存在。我们一起来看一看。


有时候你可能希望设置一组不需要的 CSRF 保护的 URL 。例如,如果你正在使用 Stripe 处理付款并使用了他们的 webhook 系统,你会需要从 CSRF 的保护中排除 Stripe webhook 处理程序路由,因为 Stripe 并不会给你的路由发送 CSRF 令牌。


这时怎么办,典型做法,就是不要把这类路由放到 routes/web.php 中。


但通过 Laravel ,可以在 app/Http/Middleware/VerifyCsrfToken.php 中间件文件中,将不需要 CSRF 验证的 URL 放到 $except 属性中。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * 从 CSRF 验证中排除的 URI
     *
     * @var array
     */
    protected $except = [
        'stripe/*',
        'http://example.com/foo/bar',
        'http://example.com/foo/*',
    ];
}

5.3 X-CSRF-TOKEN

除了检查 POST 参数中的 CSRF 令牌外, VerifyCsrfToken 中间件还会检查 X-CSRF-TOKEN 请求头。你应该将令牌保存在 HTML meta 标签中,如下:

<meta name="csrf-token" content="{{ csrf_token() }}">

然后,一旦创建了 mata 标签,就可以指示类似 jQuery 库自动将令牌添加到所有的请求头信息中,还可以为 ajax 提供 CSRF 保护。例如:

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

5.4 X-XSRF-TOKEN

Laravel 将当前的 CSRF 令牌存储在一个 XSRF-TOKEN cookie
中,该 cookie 包含在框架生成的每个响应中。你可以使用 cookie 值来设置 X-XSRF-TOKEN 请求头。

这个 cookie 主要是作为一种方便的方式发送的,因为一些 JavaScript 框架和库,例如 Angular 和 Axios ,会自动将它的值放入 X-XSRF-TOKEN 头中。

技巧:默认情况下,resources/js/bootstrap.js 文件包含的 Axios HTTP 库,会自动为你发送 CSRF 令牌。

后端木木
关注
专栏目录
laravel视图操作
你华还是你华
02-11 906
本文目录一、视图操作1、视图写在哪里?2、视图文件的命名与渲染3、变量分配与展示4、扩展:compact函数的使用(传参)5、循环与分支语法标签6、视图中的判断标签7、模版继承/包含(理解) 一、视图操作 1、视图写在哪里? 注意: 1、视图可以分目录管理 2、视图的后缀在laravel中一般都是blade.php 3、视图的创建无法通过artisan来实现 2、视图文件的命名与渲染 1、文件名习惯小写 2、文件名的后缀是blade.php(因为laravel里面有一套模版引擎就是使用blade,可
laravel框架 模板继承/csrf攻击
qq_43734300的博客
04-14 142
模板继承/包含 继承不仅仅在PH类中存在,在视图中同样存在,一般是用于做有公共部分的页面。 可以将头和尾部单独放到一个页面中去(父页面),可变的区域称之为叫子页面,如果页面需要用到父页面的东西,则需要使用继承。 问题:php父类中的方法能不能在子类中重写 案例:编写父级页面(父类),再编写一个子页面(子类)(相当于PHP中的两个类) 编写父级页面: 继承语法 @extends(需要继承的模板...
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2557
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1485
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
Laravel开发-laravel-datatables-oracle
08-28
9. **安全性**:Laravel的内置安全特性如CSRF保护、SQL注入防护等,与laravel-datatables结合使用,可以确保用户数据的安全。 10. **定制化**:laravel-datatables允许开发者自定义列显示、添加操作按钮、使用...
Laravel开发-laravel-file-manager
08-28
"laravel-file-manager" 是专为 Laravel 5 设计的一个插件,它与 Keccakier 富文本编辑器紧密结合,提供了一个强大的文件管理解决方案。 ### 1. Laravel 开发环境准备 首先,确保您的开发环境已安装了 Laravel。...
Laravel开发-laravel5-google-calendar
08-28
在本项目中,“Laravel开发-laravel5-google-calendar”是一个基于Laravel 5框架与Google Calendar API集成的应用。LaravelPHP的一种流行和强大的Web应用框架,它提供了优雅的语法和丰富的工具,使得开发者能够更...
Laravel开发-laravel-boilerplate-cms
08-27
**Laravel 开发框架概述** Laravel 是一个基于 PHP 的优雅、强大且现代的 web 应用程序开发框架。它由 Taylor Otwell 创建,旨在提供一个简洁、直观的开发环境,减少开发人员在构建复杂应用时面临的繁琐任务。...
Laravel开发-laravel-html-encrypt
08-27
Laravel框架中,开发人员经常需要处理敏感数据或防止恶意用户篡改页面内容。`laravel-html-encrypt`是一个扩展包,它提供了一个简单的方法来加密HTML输出,确保内容在传输过程中不被篡改。这个扩展包尤其适用于...
message“: “CSRF token mismatch
最新发布
weixin_50251467的博客
07-09 1997
的隐藏输入框,并且其值就是当前页面的 CSRF token。在这种情况下,我们可以通过。需要注意的是,如果在 blade 视图文件中使用了。方法,那么在页面中会自动生成一个名为。获取到 CSRF token 值。
1-17.Laravel框架CSRF代码讲解
郝云博客
10-31 660
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
laravel中关闭CSRF(全部关闭、部分关闭)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8045
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 ...
Laravel - CSRF token禁用方法
鑫的专栏
11-23 6700
关闭Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:方法一打开文件:app\Http\Kernel.php把这行注释掉: protected $middleware = [ \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class, \App\Http\Middleware\EncryptCookie
Laravel-CSRF攻击
秃行者-行星
08-31 198
CSRF攻击 CSRF攻击是跨站请求伪造(Cross-site request forgery)的英文缩写, Laravel框架中避免CSRF攻击很简单,laravel自动为每个用户Session生成一个CSRF Token,该Token可用于验证登录用户和发起者请求是否是同一个人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf token来获取Token值,因此只需要在视图提交表单中添加如下HTML代码即可在请求中带上Token: <input type=”hidden” n
laravel CSRF攻击
qq_45844648的博客
04-13 219
CSRF是跨站请求伪造, laravel框架中避免CSRF攻击:laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。 ...
Laravel 5.5 的 CSRF 保护
彳亍
06-23 1022
简介CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。Laravel 可以轻松地保护应用程序免受 跨站请求伪造 (CSRF) 的攻击。Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。任何情况下当你在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSR...
thinkphp5数据库查询构造器视图查询之View
weixin_37937428的博客
05-07 2264
链接查询 view方法 1、功能:视图查询可以实现不依赖数据库视图的多表查询,并不需要数据库支持视图 2、代码截图实例 3、参数与返回值 根据上图可知view方法有4个参数 序号 参数 说明 1 join / 字符串 / 数组 join为字符串是table表名,数组时解析成表名与表别名 2 field / 字符串 / 数组 字符串表示字段...
视图层次结构与视图控制器
twier_的博客
07-28 503
UIWindow作为iOS程序的窗口(也可以说是根视图),它就像一个容器,可以用来存放自己定义的各个子视图(UIView或其子类)。层次结构中的每个视图分别绘制自己,视图会将自己绘制在图层上。 为UIWindow添加View的方法为[self.window addSubView:(View的名字)];当然也可以设置window的rootViewController属性,rootViewContr...
Laravel 4入门教程:探索强大的PHP框架
8. **安全与认证**:Laravel提供了内置的安全特性,如CSRF保护、哈希密码存储和用户认证机制,确保了Web应用的安全性。 9. **事件与监听器**:Laravel的事件系统允许开发者在特定操作发生时触发自定义代码,监听器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

后端木木

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值