laravel中 URL 不做 CSRF 安全校验的两种方法

最新推荐文章于 2021-09-29 14:10:35 发布
最新推荐文章于 2021-09-29 14:10:35 发布
阅读量748 收藏
点赞数
分类专栏: 网站开发 文章标签: laravel PHP CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37632591/article/details/89453035
版权

任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数 csrf_field

如:

<form method="POST" action="/profile">
    {{ csrf_field() }}
    ...
</form>

中间件组 web 中的中间件 VerifyCsrfToken 会自动为我们验证请求输入的 token 值和 Session 中存储的 token 是否一致,如果没有传递该字段或者传递过来的字段值和 Session 中存储的数值不一致,则会抛出异常。

如果想要在定义的路由不需要做CSRF认证有以下两种方式:

1.将路由定义在routes/api.php文件中。CSRF 中间件只作用于 routes/web.php 中定义的路由,因为该文件下的路由分配了 web 中间件组,而 VerifyCsrfToken 位于 web 中间件组中。所以在routes/api.php定义的路由不受此限制。

2.在 VerifyCsrfToken 中间件中(文件位置:app/Http/Middleware/VerifyCsrfToken.php)将要排除的 URL 添加到 $except 属性数组中。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        //这里填入web.php中定义的路由名称
    ];
}

以上两种方式可以使路由不需要经过CSRF验证。

钚该钚想
关注
专栏目录
laravel免除csrf验证
xiaonanhaijing的博客
03-20 272
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array
Laravel框架之CSRF跨站请求伪造
珞羽飘凌个人博客
01-13 369
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进行正常的后续...
Laravel设置某个URL跳过csrf例外的方法
wgchen
09-29 438
阅读目录 1、 首先打开项目下的/app/Http/Middleware目录的VerifyCsrfToken.php文件 2、 编辑添加我们不需要验证csrfURL地址 <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /*
laravel 取消指定路由不csrf_token验证
zl_j_c的博客
04-08 136
laravel 排除csrf验证
weixin_30569153的博客
05-10 397
(*排除所有路由) 转载于:https://www.cnblogs.com/sgm4231/p/10843223.html
laravel--设置不需要csrfToken校验的接口
weixin_30807779的博客
02-02 730
一般是前后端分离或者支付宝响应的时候需要不设置csrfToken校验的接口,laravel推荐使用passport安全校验设计接口 转载于:https://www.cnblogs.com/mrszhou/p/8407224.html...
浅谈Laravel POST,PUT,PATCH 路由的区别
10-16
Laravel,HTML表单默认只支持GET和POST两种请求方式,而PUT、PATCH和DELETE等方法通常需要Laravel伪造(例如通过JavaScript或表单的隐藏字段)来实现。伪造HTTP请求在Laravel通常通过请求实例上的`...
laravel validate数据验证
Ryanking1的博客
12-05 2751
我们用用户注册作为demo讲解validate 注册需要 用户名 非空唯一 密码 非空 6-12位 只允许数字和大小写字母 确认密码 非空 6-12位 只允许数字和大小写字母与密码一致 操作步骤: 第一步新建路由:(这里直接提供整个路由组) Route::prefix('book')->group(function () { route::get('index','B...
从一个Laravel SQL注入漏洞开始的Bug Bounty之旅
离别歌
08-30 2732
事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程。本文提到的漏洞《Cachet SQL注入漏洞(CVE-2021-39165)》已经修复,也请读者勿使用该...
PHP常见的十个安全问题
weixin_49163826的博客
07-20 979
相对于其他几种语言来说, PHP 在 web 建站方面有更大的优势,即使是新手,也能很容易搭建一个网站出来。但这种优势也容易带来一些负面影响,因为很多的 PHP 教程没有涉及到安全方面的知识。 此帖子分为几部分,每部分会涵盖不同的安全威胁和应对策略。但是,这并不是说你到这几点以后,就一定能避免你的网站出现任何问题。如果你想提高你的网站安全性的话,你应该继续通过阅读书籍或者文章,来研究如何提高你的网站安全性 出于演示需要,代码可能不是很完美。日常开发过程,很多代码都包含在了框架跟各种库里面。作为一个后台开
laravel csrf排除路由,禁止,关闭指定路由的例子
01-03
百度了下,发现别的教程里需要更改文件,实际上很简单,官方提供了接口可以用来设置; laravelcsrf防范是通过app/http/Middleware目录下的间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用csrf验证; <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends Bas
laravel关闭csrf方法
兔子的博客
12-29 828
CSRF攻击和漏洞的参考文章: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.htmlLaravel默认是开启了CSRF功能,关闭此功能的方法方法一 打开文件:app\Http\Kernel.php把这行注释掉:'App\Http\Middleware\VerifyCsrfToken'方法二 打开文件:app\Http\Mid
laravel关闭CSRF(全部关闭、部分关闭)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8069
用了laravel就会知道其csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本会默认在路由里面添加 web 间件。 在app/Http/Kernel.php文件有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 ...
Laravel防御机制浅析
crystal_shrimps的博客
04-12 830
写在前面 在某次安全测试碰到此框架,测了半天也没发现XSS之类的漏洞,查了一下Laravel有默认配置的安全机制,总结记录一下。本文以Laravel5.5为例分析部分安全机制以及涉及到的获取请求写法还有网上公开的Laravel框架漏洞 laravel5.5文手册 laravel5.5源码 安全机制 XSS防御–Blade模板引擎从输入到输出 定义路由获取变量->把变量传给视图渲染-&g...
laravel框架,微信第三方平台授权事件接收URL无法接收到微信的推送
小馒头丶
07-10 2452
    在刚刚开发第三方平台的时候,发现已经审核通过的“授权事件接收URL”接收不到微信每十分钟推送的ComponentVerifyTicket后来经过测试发现!!!在laravel要把这个路径添加到“VerifyCsrfToken”。    因为微信推送是post请求,所以在框架里会有CSRF请求。当你加进“VerifyCsrfToken”的时候。就可以正常访问了&lt;?php names...
Laravel 5.3+ 如何定义API路径(取消CSRF保护)
昊喵喵博士
11-30 1028
Laravel 5.3+开始,API路径被放入了routes/api.php。我们绝大多数的路径其实都会在web.php定义,因为在web.php定义的路径默认有CSRF保护,而API路径默认没有CSRF保护。在Laravel官网文档写到: Any HTML forms pointing to POST, PUT, or DELETE routes that are defined ...
Laravel框架,Post请求返回419或者500,因为默认有csrf验证
悠悠余香
03-29 7691
解决:打开文件:app\Http\Middleware\VerifyCsrfToken.php, 全部关闭 use Closure; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * ...
Laravel VerifyCsrfToken csrftoken 验证
太子的博客
08-28 657
取消csrftoken验证 /laravel/app/Http/Middleware/VerifyCsrfToken.php /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ // 'myhomeland/*', ...
django免除csrf校验
热门推荐
qq_42486675的博客
07-15 1万+
在django默认启动csrf校验,当用户发起post请求时,必须携带csrf_token参数。如果不想使用csrf校验时,可以使用以下方式免除校验。以下方式都是在局部使用,如果想全局禁用时,需要在settings文件配置,这种方式不推荐使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值