laravel中关闭CSRF的方法

于 2017-04-07 14:52:07 发布
阅读量8.3k 收藏 1
点赞数
分类专栏: Laravel

在框架中一般情况下报这种错误的都是csrf防攻击未关闭


那么我们可以关闭这种csrf有以下两种方法:

第一种

打开文件路径:app\Http\Kernel.PHP

找到这行代码并注释掉:

'App\Http\Middleware\VerifyCsrfToken'
  

第二种

打开文件路径:app\Http\Middleware\VerifyCsrfToken.PHP

修改为:可开启和关闭

代码如下:

<?php

namespace App\Http\Middleware;
use Closure;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    public function handle($request, Closure $next)
    {
        // 使用CSRF
        // return parent::handle($request, $next);
        // 禁用CSRF
        return $next($request);
    }
    // protected $except = [
    //     //
    // ];
}

 

CSRF的使用也有两种方法:

方法一:

在页面HTML的代码中加入:


<input type="hidden" name="_token" value="{{ csrf_token() }}" />


方法二:

使用cookie方式的CSRF,可以不用在每个页面都加入input标签。

把app\Http\Middleware\VerifyCsrfToken.php修改为:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return parent::addCookieToResponse($request, $next($request));
    }

}

 我们在这个路径下也可以对指定的表单提交方式使用CSRF

代码如下:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // Add this:
        if($request->method() == 'POST')
        {
            return $next($request);
        }
        
        if ($request->method() == 'GET' || $this->tokensMatch($request))
        {
            return $next($request);
        }
        throw new TokenMismatchException;
    }

}

我们在方法二中只能对GET的方式提交使用CSRF,

对POST方式提交表单是需要禁用CSRF的;

 

 

修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,

重写addCookieToResponse(...)方法做到。


进入手册中查看的session和csrf解释:https://laravel-china.org/docs/5.1/routing#route-groups

个人主页


小白丶程序猿
关注
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值