Laravel中CSRF攻击

最新推荐文章于 2024-01-16 08:54:05 发布
最新推荐文章于 2024-01-16 08:54:05 发布
阅读量338 收藏 1
点赞数 2
分类专栏: laravel 文章标签: php 后端 lavarel 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57739390/article/details/119295659
版权

1、什么是CSRF 攻击?

CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

2、Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证 1、创建两个路由,一个用于展示表单(get),另外处理请求(post) /showtable 展示表单 get /posttable 提交表单 post 在这里插入图片描述 效果: 说明Laravel框架默认是开启了csrf认证的。 修改showtable.blade.php里的代码如下: ​​​​​​​在这里插入图片描述 说明这个token验证是成功了,所以跨站的没办法验证通过,只能在当前站点访问。 除了csrf_token()还有一种方法csrf_field(),前者表示直接输出token值,后者表示直接输出整个隐藏域的input框; 如下: ​​​​​​​ 一般在视图里用csrf_field即可,大部分的时候在javascript代码片段中(特别是在做ajax异步提交的时候)可以考虑用csrf_token。

3、从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。 可以通过VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件将要排除的请求URL添加到$except属性数组中: ​​​​​​​

 

在学习的php的路上,如果你觉得本文对你有所帮助的话,那就请关注点赞评论三连吧,谢谢,你的肯定是我写博的另一个支持。

瑾!
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本会默认在路由里面添加 web 间件。 在app/Http/Kernel.php文件有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 部分关闭 当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
Flask模拟实现CSRF攻击的方法
09-20
主要介绍了Flask模拟实现CSRF攻击的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
laravelcsrf 防御机制详解,及formcsrf_token()的存在介绍
01-03
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。 二、LaravelCSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在表单添加具体看下图
CSRF攻击与防御
02-26
根据HTTP协议,在HTTP头有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,比如需要访问http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory,用户必须先登陆bank.example,然后通过点击页面上的按钮来触发转账事件。这时,该转帐请求的Referer值就会是转账按钮所在的页面的URL,通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击,他只能在他自己的网站构造请求,当用户通过黑客的网站发送请求到银行
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1354
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)
卡尔特斯
02-24 1079
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
Laravel - CSRF - 学习/实践
william_n的博客
08-12 2358
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
Laravel框架对csrf攻击的处理方式
MminQAQ的博客
06-28 353
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 595
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进...
Laravelcsrf四种方式
u012114437的博客
11-15 1349
Laravelcsrf四种方式 1:{{csrf_field()}} 2:{!! csrf_field() !!} 3:@csrf 4:<input type="hidden" name="_token" value="{{csrf_token()}}"> 以上任何一种方式都会生成下面的html代码: <input type="hidden" name="_token" value="YOhMWMegKfoLWCs5fTgeSH37IstlFDOpzaSwOKhQ"> csrf
Laravel框架学习心得
m0_63957336的博客
06-22 137
Laravel是泰勒.奥特威尔(Taylor Otwell)使用PHP语言开发的一款开源的Web应用框架,于2011年6月首次发布,自发布以来备受PHP开发人员的喜爱,其用户的增长速度迅猛。Laravel是套简洁、 优雅的框架,具有简洁且富于表达性的语法。Laravel 秉承“Don't RepeatYourself" (不要重复)的理念,提倡代码的重用。Laravel 还为开发大型应用提供了各种强大的支持功能,这些功能包括自动验证、路由、Session、 缓存、数据库迁移等。您可以使用该命令会在。
laravel关闭csrf验证
最新发布
L_s_c_h的博客
01-16 512
Laravel默认是开启了CSRF功能,有时可能不能传递验证token,就需要关闭。本教程操作环境:windows11系统、Laravel5.1版,打开文件:app\\Http\\Kernel.phplaravel怎么关闭csrf验证?
laravel csrf使用以及禁用
Grave burn paper
09-24 540
方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: php namespace App\Http\Middleware; use Closure; use
Laravel基础之CSRF保护
蛐蛐的博客
11-07 693
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序定义HTML表单时,都应在表单包含一个隐藏的CSRF令牌字段,以便CSRF保护间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
Laravel框架CSRF攻击
weixin_43366149的博客
04-14 155
在平时的生活 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web...
Laravel 微信开发 csrf_token 验证问题
为了、梦想
08-10 1844
微信公众号开发时微信服务器发给我们的服务器的信息是没有csrf_token的,所以我们需要在laravel设置不验证。 下面的错误就是缺少csrf_token 的错误提示。 怎么办呢?很简单,打开根目录 \app\Http\Middleware\VerifyCsrfToken.php 文件,在文件的 $except 属性添加你的路由即可。 OK!...
Laravel框架,Post请求返回419或者500,因为默认有csrf验证
悠悠余香
03-29 7527
解决:打开文件:app\Http\Middleware\VerifyCsrfToken.php, 全部关闭 use Closure; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * ...
ajax传值令牌不起作用,laravel ajax表单提交csrf令牌不起作用
weixin_31487917的博客
08-05 189
我想用ajax.I提交我的联系表单,我也在meta标签添加了csrf标记。但是我仍然得到关于头错误500laravel ajax表单提交csrf令牌不起作用我laravel路线:Route::post('/mail',['uses'=>'[emailprotected]','as'=>'api.postContact']);控制器方法public function postCont...
掌握Laravel模型的定义和使用和Laravel框架对CSRF攻击的处理方式实验总结
05-25
一、Laravel模型的定义和使用 1. 定义模型 在Laravel,我们可以通过使用Artisan命令`php artisan make:model ModelName`来创建一个模型,模型文件将会被创建在`app`目录下的`Models`文件夹。 2. 使用模型 在使用模型之前,需要先引入模型类。然后,我们就可以使用模型提供的方法进行数据库操作了。 例如,我们可以使用`all()`方法获取表所有记录: ``` use App\Models\ModelName; $models = ModelName::all(); ``` 我们也可以使用`find($id)`方法获取指定ID的记录: ``` $model = ModelName::find($id); ``` 二、Laravel框架对CSRF攻击的处理方式 CSRF(Cross-site request forgery)攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下,对某个网站发起非法请求。Laravel框架提供了一些内置的保护机制来防止CSRF攻击。 1. CSRF Token 在Laravel,每个表单都应该包含一个CSRF令牌,这个令牌会在用户访问站点时自动生成,并且包含在每个表单的隐藏字段。当用户提交表单时,Laravel会验证这个令牌是否有效。如果令牌无效,Laravel会抛出一个异常。 在表单,我们可以使用`csrf_field()`函数来生成CSRF令牌: ``` <form method="POST" action="/example"> {{ csrf_field() }} <!-- 表单字段 --> </form> ``` 2. X-CSRF-Token头 除了在表单使用CSRF令牌,还可以在AJAX请求使用X-CSRF-Token头。Laravel会自动在每个响应包含一个名为`X-CSRF-Token`的头部,我们可以在AJAX请求将这个头部带上。 例如,在AJAX请求,我们可以使用jQuery来设置X-CSRF-Token头部: ``` $.ajaxSetup({ headers: { 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') } }); ``` 在HTML头部,我们需要设置一个名为`csrf-token`的meta标签,以便获取CSRF令牌: ``` <meta name="csrf-token" content="{{ csrf_token() }}"> ``` 总之,Laravel提供了多种方式来防止CSRF攻击,开发者只需要按照要求使用相关的保护机制即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值