Laravel 5.5 CSRF

最新推荐文章于 2021-08-19 13:22:20 发布
最新推荐文章于 2021-08-19 13:22:20 发布
阅读量369 收藏
点赞数
分类专栏: PHP laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37910492/article/details/84543107
版权
PHP 同时被 2 个专栏收录
46 篇文章 2 订阅
订阅专栏
laravel
30 篇文章 1 订阅
订阅专栏

CSRF

// CSRF(跨站请求伪造)是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。

{{ csrf_field() }}

<input type="hidden" name="_token" value="{{ csrf_token() }}">

{{ method_field('PUT') }}

<input type="hidden" name="_method" value="PUT">

// 排除指定 URL 不做 CSRF 安全校验

    某些路由可能不需要经过csrf验证,例如,如果你使用了第三方支付系统(如支付宝或微信支付)来处理支付并用到他们提供的回调功能,这时候就需要从 Laravel 的 CSRF 保护中间件中排除回调处理器路由,因为第三方支付系统并不知道要传什么 token 值给我们定义的路由。取消的方法是在 app/Http/Middleware/VerifyCsrfToken 中的$except 添加这些路由

<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * 从 CSRF 验证中排除的 URL
     *
     * @var array
     */
    protected $except = [
        'alipay/*',
    ];
}

// X-CSRF-Token

<meta name="csrf-token" content="{{ csrf_token() }}">

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

 

 

 

 

 

 

Loedan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel框架对csrf攻击的处理方式
MminQAQ的博客
06-28 406
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
LaravelCSRF攻击
瑾的日常
08-01 343
1、什么是CSRF 攻击? CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token: <inpu
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 603
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
laravel csrf使用以及禁用
Grave burn paper
09-24 548
方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: php namespace App\Http\Middleware; use Closure; use
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel5.5框架的上传图片功能实例分析【仅传到服务器端】
12-20
本文实例讲述了laravel5.5框架的上传图片功能。分享给大家供大家参考,具体如下: 这里面包含单张和多张图片的上传 首先先来前端页面的html <!DOCTYPE html> <html> <head> <title>上传...
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到...
laravel csrf排除路由,禁止,关闭指定路由的例子
01-03
laravelcsrf防范是通过app/http/Middleware目录下的中间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\...
Laravel 漏洞合集
热门推荐
小小猪的博客
08-19 1万+
Laravel 漏洞合集 Laravel 存在SQL注入漏洞 poc: /test?email=1&id=1 union select user()# /test?email=1/`&id=1&column=/ union select user()--+- 可以看的注入成功 Laravel 反序列化漏洞 一. poc: <?php namespace Illuminate\Broadcasting{ use Illuminate\Bus\D...
Laravel基础之CSRF保护
蛐蛐的博客
11-07 705
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序中定义HTML表单时,都应在表单中包含一个隐藏的CSRF令牌字段,以便CSRF保护中间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
Laravel表单的_token验证、@csrf、简单留言板
qq_46179813的博客
05-19 1043
1、表单_token的验证 <input type="hidden" name="_token" value="<?php echo csrf_token();?>"> 2、back()回退上一页面 3、更新迁移文件 C:\wamp64\www\weibo>php artisan migrate Nothing to migrate. C:\wamp64\www\weibo>php artisan migrate:rollback Rolling back: 2020
Laravel 5.5 的 CSRF 保护
彳亍
06-23 1004
简介CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。Laravel 可以轻松地保护应用程序免受 跨站请求伪造 (CSRF) 的攻击。Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。任何情况下当你在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSR...
Laravel--CSRF的方法
Iam8600的博客
11-17 9039
                                     Laravel--CSRF的方法     在框架中一般情况下报这种错误的都是csrf防攻击未关闭   那么我们可以关闭这种csrf有以下两种方法:   第一种 打开文件路径:app\Http\Kernel.php 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrf...
express+axios 配置csrf
weixin_40863414的博客
03-04 552
自己用express和axios来配置csrf时候的坑&amp;amp;总结。 文章地址: express+axios 配置csrf
Laravel 开发学习(六)Laravel CSRF
qq_37970345的博客
07-05 740
Laravel CSRFLaravel会自动为每个会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。当你定义一个Html表单的时候,需要在表单中包含一个隐藏的 CSRF 令牌字段,以便 CSRF 保护中间件可以验证该请求。可以使用辅助函数 csrf_field 来生成令牌字段:&lt;form method="POST" action="/profil...
解决Laravel 5.5 header['X-CSRF-TOKEN','Authorization']请求问题
Stein的博客
01-04 6614
1、解决 "CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> 2、解决 "X-CSRF-TOKEN",需要在主模板里更改: In header name="csrf-token" content="{{ csrf_token() }}" /> In
laravel关于CSRF
HZX19941018的博客
12-03 1万+
       laravel的另一个特点就是CSRF,在学习的时候,由于对这个理解比较少,也是边学习,边写项目代码,在写登陆表单的时候,就遇到了这个难题,由于不知道,第一次报错,本人觉得很懵逼,不知道什么情况(由于以前是学习TP框架,所以不知道有这个功能),所以就各种百度,各种看,最后才知道,这是由于laravel自带有表单令牌验证功能,这也就是一个坑,后来知道了,在提交表单里放入一个代码语句就可...
安装laravel5.5版本遇到的坑
木豪末的博客
10-24 2388
今天在centos7上安装laravel,因为我的服务器上php版本是7.0,所以我选择安装laravel5.5。 第一步,安装composer wget https://dl.laravel-china.org/composer.phar -O /usr/local/bin/composer chmod a+x /usr/local/bin/composer 第二步,用composer...
laravel 6 路由 禁用CSRF token
最新发布
05-30
虽然不建议禁用 LaravelCSRF 防护功能,但如果你非常确定自己的应用不需要 CSRF 防护,你可以在指定路由上禁用 CSRF token 验证。方法如下: 在 `app/Http/Middleware/VerifyCsrfToken.php` 中,找到 `$except` 属性,将你想要禁用 CSRF token 验证的路由添加到该数组中即可。例如: ```php protected $except = [ 'your/route', ]; ``` 这样,你的 `your/route` 路由就不会进行 CSRF token 验证了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值