Laravel框架中的CSRF攻击

最新推荐文章于 2023-06-28 00:12:26 发布
最新推荐文章于 2023-06-28 00:12:26 发布
阅读量914 收藏 1
点赞数 4
分类专栏: PHP Laravel 文章标签: laravel php 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45062472/article/details/108342583
版权
PHP 同时被 2 个专栏收录
30 篇文章 0 订阅
订阅专栏
Laravel
25 篇文章 1 订阅
订阅专栏

1、什么是CSRF攻击

CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写:
Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致】
Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

2、Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证
①创建两个路由,一个用于展示表单(get),另外处理请求(post)

Route::get('test6','Home\TestController@test6');
Route::post('test7','Home\TestController@test7');

②创建需要的方法

	 public function test6(){
        return view('home.test.test6');
     }
     public function test7()
     {
         return "请求提交成功";
     }

③创建需要的简易表单

在这里插入图片描述

④提交效果(报错页面)
在这里插入图片描述

结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的。

⑤解决报错问题(如何通过csrf验证)
解决思路:带上csrf需要token值,随着请求传递给后续的方法

<form action="/home/test/test7" method="post">
    用户名:<input type="text" name="username"><br>
    <input type="hidden" name="_token" value="{{csrf_token()}}">
    {{csrf_field()}}
    <input type="submit" value="提交">
</form>

针对csrf_token方法的简化:{{csrf_field()}}

具体的表现形式:
在这里插入图片描述

两者的区别:
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

3、从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

通过编写配置设置例外:
单个路由排除写法

 'home.test.test6',

多个元素之间通过“,”分割,遵循数组写法。

'home.test.test6',
'home.test.test7'

如果需要排除全部路由使用csrf的话,则可以写成:

'*'
Cure The World
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel框架学习(CSRF
野蛮秘籍
03-09 9102
CSRF攻击原理及其防护1、CSRF攻击是what? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。2、Laravel如何避免CSRF攻击 Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。Laravel提供了一个全局帮助函数csr
LaravelCSRF攻击
瑾的日常
08-01 374
1、什么是CSRF 攻击CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单添加如下HTML代码即可在请求带上Token: <inpu
laravel 框架csrf
weixin_34378969的博客
03-03 105
由于 laravel 框架自带 csrf 防护, 也就是通过间件验证请求的 token, 所以 form 表单必须如下设置才可以正常提交, 否则会 419: <form method="POST" action="/profile"> @csrf ... </form> 转载于:https://www.cnblogs.com/rachelross/...
Laravel-CSRF攻击
秃行者-行星
08-31 198
CSRF攻击 CSRF攻击是跨站请求伪造(Cross-site request forgery)的英文缩写, Laravel框架避免CSRF攻击很简单,laravel自动为每个用户Session生成一个CSRF Token,该Token可用于验证登录用户和发起者请求是否是同一个人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf token来获取Token值,因此只需要在视图提交表单添加如下HTML代码即可在请求带上Token: <input type=”hidden” n
laravel框架CSRF攻击)【重点】
qq_43383765的博客
04-14 478
一、CSRF攻击 XSS、SQL注入 1.什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgey)的英文缩写 Laravel框架避免CSRF攻击很简单:laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否为同一人,如果不是则请求失败。【该原理和验证码的原理是一致】 Laravel提供了...
Laravel框架csrf攻击的处理方式
最新发布
MminQAQ的博客
06-28 476
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
写一个实验总结:Laravel框架用模型实现数据库的操作。 2.Laravel框架CSRF攻击的处理方式
05-25
实验总结: 1. Laravel框架用模型实现数据库的操作 在Laravel框架,使用...通过以上实验,我们可以了解到Laravel框架使用模型操作数据库的方法以及如何防止CSRF攻击。这些知识对于开发Web应用程序是非常有用的。
掌握Laravel模型的定义和使用和Laravel框架CSRF攻击的处理方式实验总结
05-25
Laravel框架提供了一些内置的保护机制来防止CSRF攻击。 1. CSRF Token 在Laravel,每个表单都应该包含一个CSRF令牌,这个令牌会在用户访问站点时自动生成,并且包含在每个表单的隐藏字段。当用户提交表单时,...
1.利用模型实现数据库的操作。 2.Laravel框架CSRF攻击的处理方式。
05-25
2. Laravel框架CSRF攻击的处理方式: Laravel提供了一种简单的方式来防止跨站请求伪造(CSRF攻击,即通过生成和验证CSRF令牌来保护应用程序。具体实现步骤如下: - 在所有表单使用CSRF令牌,可以通过在表单...
Laravel CSRF
紫罗兰的博客
08-27 258
CSRF 跨站请求伪造(Cross-site request forgery)
1-17.Laravel框架CSRF代码讲解
郝云博客
10-31 659
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进...
laravel csrf
Cpath的博客
03-25 482
框架一般情况下报这种错误的都是csrf攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种打开文件路径:app\Http\Kernel.PHP找到这行代码并注释掉:'App\Http\Middleware\VerifyCsrfToken' 第二种打开文件路径:app\Http\Middleware\VerifyCsrfToken.php修改为:可开启和关闭代码如下:<?phpnam
Laravel基础之CSRF保护
蛐蛐的博客
11-07 829
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序定义HTML表单时,都应在表单包含一个隐藏的CSRF令牌字段,以便CSRF保护间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
Laravel框架CSRF攻击
weixin_43584903的博客
04-21 104
在平时的生活 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web...
laravel CSRF攻击
qq_45844648的博客
04-13 219
CSRF是跨站请求伪造, laravel框架避免CSRF攻击laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。 ...
csrf laravel
jjlgz的博客
10-30 820
CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 1 CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。  
Laravel 5.5 CSRF
qq_37910492的博客
11-26 381
CSRF // CSRF(跨站请求伪造)是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。 {{ csrf_field() }} &lt;input type="hidden" name="_token" value="{{ csrf_token() }}"&gt; {{ method_field('PUT') }} &lt;input type="hidden" name="_
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值