Laravel - CSRF token禁用方法

最新推荐文章于 2024-01-16 08:54:05 发布
最新推荐文章于 2024-01-16 08:54:05 发布
阅读量335 收藏
点赞数
分类专栏: laravel 文章标签: csrf

前文

CSRF攻击和漏洞的参考文章:

http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:
方法一

打开文件:app\Http\Kernel.PHP

把这行注释掉:

 App\Http\Middleware\VerifyCsrfToken

方法二

打开文件:app\Http\Middleware\VerifyCsrfToken.php

修改为:

 <?php namespace App\Http\Middleware;  

    use Closure;  
    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;  

    class VerifyCsrfToken extends BaseVerifier {  

        /** 
         * Handle an incoming request. 
         * 
         * @param  \Illuminate\Http\Request  $request 
         * @param  \Closure  $next 
         * @return mixed 
         */  
        public function handle($request, Closure $next)  
        {  
            // 使用CSRF  
            //return parent::handle($request, $next);  
            // 禁用CSRF  
            return $next($request);  
        }  

    }

CSRF的使用有两种,一种是在HTML的代码中加入:

 <input type="hidden" name="_token" value="{{ csrf_token() }}" />

另一种是使用cookie方式。

使用cookie方式,需要把app\Http\Middleware\VerifyCsrfToken.PHP修改为:

  <?php namespace App\Http\Middleware;  

    use Closure;  
    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;  

    class VerifyCsrfToken extends BaseVerifier {  

        /** 
         * Handle an incoming request. 
         * 
         * @param  \Illuminate\Http\Request  $request 
         * @param  \Closure  $next 
         * @return mixed 
         */  
        public function handle($request, Closure $next)  
        {  
            return parent::addCookieToResponse($request, $next($request));  
        }  

    }

使用cookie方式的CSRF,可以不用在每个页面都加入这个input的hidden标签。

当然,也可以对指定的表单提交方式使用CSRF,如:

<?php namespace App\Http\Middleware;  

    use Closure;  
    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;  

    class VerifyCsrfToken extends BaseVerifier {  

        /** 
         * Handle an incoming request. 
         * 
         * @param  \Illuminate\Http\Request  $request 
         * @param  \Closure  $next 
         * @return mixed 
         */  
        public function handle($request, Closure $next)  
        {  
            // Add this:  
            if($request->method() == 'POST')  
            {  
                return $next($request);  
            }  

            if ($request->method() == 'GET' || $this->tokensMatch($request))  
            {  
                return $next($request);  
            }  
            throw new TokenMismatchException;  
        }  

    }

只对GET的方式提交使用CSRF,对POST方式提交表单禁用CSRF
修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:

vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,重写addCookieToResponse(…)方法做到。

另外,如需要对指定的页面不使用CSRF,可以参考如下文章:

http://www.camroncade.com/disable-csrf-for-specific-routes-laravel-5/

ufan94
关注
专栏目录
Laravel框架对csrf攻击的处理方式
MminQAQ的博客
06-28 478
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
laravel 图片流_laravel-admin恶心的图片上传功能改为异步传图的完整方案
weixin_29137599的博客
01-13 713
laravel-admin恶心的图片上传功能,让广大开发者很是苦恼,今天分享一个 手动改为异步传图的完整方案给大家,如果有大神在,也可以考虑将其封装为扩展~同时也分享一下列表使用tab的解决方案~以及如何使用json方式存储动态性字段比较强的类型的数据~话不多,看代码grid()控制器protectedfunctiongrid(){$grid=newGrid(newAd());$gri...
laravel 部分路由取消csrf
weixin_30588729的博客
10-28 185
// app/Http/Middleware/VerifyCsrfToken protected $except = [ 'webhook/*' ]; 转载于:https://www.cnblogs.com/fenle/p/4918027.html
laravel关闭csrf验证
最新发布
L_s_c_h的博客
01-16 712
Laravel默认是开启了CSRF功能,有时可能不能传递验证token,就需要关闭。本教程操作环境:windows11系统、Laravel5.1版,打开文件:app\\Http\\Kernel.php。laravel怎么关闭csrf验证?
laravel CSRF token使用方法
xiaoluyouyue的博客
12-08 887
Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为:   &lt;?php namesp...
laravel 对读请求加 csrf-token 验证
weixin_41565755的博客
04-13 663
1、laravel默认是不对 对于重要的读请求进行csrf-token 验证的,但是对于对于一些重要的读方法,也可以添加保护。 protected function isReading($request) { return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']); } 2、对读请求加 csrf-token 验证 (1)namespace Illuminate\Foundati..
LaravelCSRF的验证与取消验证
Deeeelete的博客
04-19 1292
CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 原理:L...
laravel 5.5 关闭token的3种实现方式
10-16
本文将详细探讨如何在Laravel 5.5中关闭Token验证的三种实现方法。 第一种方法:项目全局关闭Token验证 在Laravel中,全局关闭Token验证是通过修改中间件来实现的。通常情况下,Token验证在`VerifyCsrfToken`中间件...
laravel 6 路由 禁用CSRF token
05-30
虽然不建议禁用 LaravelCSRF 防护功能,但如果你非常确定自己的应用不需要 CSRF 防护,你可以在指定路由上禁用 CSRF token 验证。方法如下: 在 `app/Http/Middleware/VerifyCsrfToken.php` 中,找到 `$except`...
Laravel开发-laravel4-header-csp
08-28
<script nonce="{{ csrf_token() }}"> // Your inline script here ``` **CSP Violation Reporting**: 为了检测和修复CSP策略中的问题,可以设置`report-uri`指令,指定一个URL接收CSP违规报告。Laravel 4中可以...
laravelcsrf token 的了解及使用
weixin_30435261的博客
10-24 336
之前在项目中因为没有弄清楚csrf token的使用,导致发请求的话,一直请求失败,今天就一起来看一下csrf的一些东西。 1.Cross-site request forgery 跨站请求伪造,也被称为 “one click attack” 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。CSRF 则通过伪装来自受信任用户的请求来利用受信任的...
laravelcsrf 防御机制详解,form 中 csrf_token() 的存在
Jesse
06-17 1万+
一、 什么是 CSRF ? CSRF是Cross Site Request Forgery的缩写,看起来和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。具体操作原理看google。。二、LaravelCSRF防御过程 Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(t
XSRF
人饭子的博客
11-13 9802
XSRF 跨站请求伪造 先建立一个网站127.0.0.1:8000,使用上一节中的Cookie计数器: class IndexHandler(RequestHandler): def get(self): cookie = self.get_secure_cookie("count") count = int(cookie) + 1 if cook
laravel关闭CSRF(全部关闭、部分关闭
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8045
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭csrf验证,但这就全部关闭了。 ...
Laravel框架学习心得
m0_63957336的博客
06-22 199
Laravel是泰勒.奥特威尔(Taylor Otwell)使用PHP语言开发的一款开源的Web应用框架,于2011年6月首次发布,自发布以来备受PHP开发人员的喜爱,其用户的增长速度迅猛。Laravel是套简洁、 优雅的框架,具有简洁且富于表达性的语法。Laravel 秉承“Don't RepeatYourself" (不要重复)的理念,提倡代码的重用。Laravel 还为开发大型应用提供了各种强大的支持功能,这些功能包括自动验证、路由、Session、 缓存、数据库迁移等。您可以使用该命令会在。
Security关闭CSRF
热门推荐
doStruggle的博客
06-06 1万+
问题 在项目中添加了Security模块后,在发送post请求时会失败,出现以下日志: Invalid CSRF token found for ... 原因 在Security的默认拦截器里,默认会开启CSRF处理,判断请求是否携带了token,如果没有就拒绝访问。并且,在请求为(GET|HEAD|TRACE|OPTIONS)时,则不会开启,可参考如下源码: // 先从tokenRep...
laravel关闭CSRF方法
woshihaiyong168的博客
11-18 1241
在框架中一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
Laravel 5禁用csrf_token
红壶吃猬队的博客
03-12 627
在app\Http\Kernel.php中,将“App\Http\Middleware\VerifyCsrfToken”一行注释掉; 在App\Http\Middleware\VerifyCsrfToken.php中,将“return parent::handle($request, $next);”一行改为“return $next($request);”; (5.1及以上版本用)在App\H...
Anti-CSRF token
09-24
Anti-CSRF token(跨站请求伪造防护令牌)是一种用于保护网站免受跨站请求伪造(CSRF)攻击的安全机制。它通过在用户访问网站时生成一个唯一的令牌,并将该令牌嵌入到每个表单或请求中。在提交表单或请求时,服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值