Laravel中如何避免CSRF攻击

最新推荐文章于 2024-01-24 10:59:31 发布
最新推荐文章于 2024-01-24 10:59:31 发布
阅读量408 收藏 1
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/GBWSHUSHU/p/6957324.html
版权

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。

Laravel提供了一个全局帮助函数 csrf_token 来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">  该段代码等同于全局帮助函数csrf_field的输出:

Blade模板引擎中还可以使用如下方式调用:

{!! csrf_field() !!}


3、从CSRF验证中排除指定URL

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

可以通过在VerifyCsrfTokenapp/Http/Middleware/VerifyCsrfToken.php中间件中将要排除的请求URL添加到$except属性数组中:

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }
 

X-CSRF-Token及其使用:

使用Ajax  提交post表单  可以把 Token  存在 meta 中

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交

 
 
$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});
 
 


 
 
Laravel中CSRF验证原理分析
 
 
 
 
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:
 
 
 
 
public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}



VerifyToken 是中间件   ->  handle()->isReading(判断请求的方式 排除get,head,options)   -> showPassThough 判断  路由是否在$except  内排除   做了排除也不验证   最后通过   TokenMatch   方法判断   CSRF TOKEN 值和SESSION 中的TOKEN 是否相等   相同则通过验证

否则   抛出异常  :tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypterdecrypt方法进行解密。
 
 
 
 
2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEADGETOPTIONS其中一种,则不做CSRF验证;
 
 
 
 
3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;
 
 
 
 
4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。
 
 





 
 
对应源码如下:
 
 
 
 
public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}
 
 









 
 
 
 

 

转载于:https://www.cnblogs.com/GBWSHUSHU/p/6957324.html

                

        

        




    




    

      

        

            

              
                
                  weixin_30898109
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
laravel框架(CSRF攻击)【重点】

				
			

			

				

					qq_43383765的博客
				

				

					04-14
					
					420
					
				

			

		

		

			
				
一、CSRF攻击
XSS、SQL注入
1.什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgey)的英文缩写

Laravel框架避免CSRF攻击很简单:laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否为同一人,如果不是则请求失败。【该原理和验证码的原理是一致】
Laravel提供了...

			
		

	



                

              
                



	

		

			

				
					
token系列2—解析(解码)及实际应用

				
			

			

				

					yzw3270978316的博客
				

				

					03-31
					
					3879
					
				

			

		

		

			
				
Jwt系列2-解析及应用

			
		

	



                


  
              

                


	

		

			

				
					
Laravel框架CSRF攻击

				
			

			

				

					weixin_43366149的博客
				

				

					04-14
					
					162
					
				

			

		

		

			
				
在平时的生活 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web...

			
		

	





	

		

			

				
					
laravel CSRF攻击

				
			

			

				

					qq_45844648的博客
				

				

					04-13
					
					206
					
				

			

		

		

			
				
CSRF是跨站请求伪造,
laravel框架避免CSRF攻击laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。

...

			
		

	



		

			
		



	

		

			

				
					
LaravelCSRF保护使用方法

				
			

			

				

					weixin_30407099的博客
				

				

					09-05
					
					412
					
				

			

		

		

			
				
直接将{{csrf_field()}}辅助函数
放在表单来生成令牌字段
<form method="POST" action="/profile">
  {{ csrf_field() }} 
  ... 
</form>
如果在使用ajax时
可以将令牌存放在HTML meta标签
<meta name="csrf-toke...

			
		

	





	

		

			

				
					
PHP-Yii框架下提交表单form防止csrf攻击

				
			

			

				

					weixin_30448685的博客
				

				

					03-31
					
					86
					
				

			

		

		

			
				
解决办法:
 在form标签下,写入一个隐藏的input控件

<form id="form_submit" action="http://v2admin.donever.me/forum/thread/robot-publish" method="post">

    <!--防止csrf攻击-->
    <input name="_csrf" t...

			
		

	





	

		

			

				
					
laravel 实现关闭CSRF(全部关闭、部分关闭)

				
			

			

				

					01-03
				

			

		

		

			
				
用了laravel就会知道其...当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a

			
		

	





	

		

			

				
					
CSRF攻击的应对之道

				
			

			

				

					01-30
				

			

		

		

			
				
CSRF(Cross ...然而,该攻击方式并不为大家所熟知,很多网站都有CSRF的安全漏洞。本文首先介绍 CSRF的基本原理与其危害性,然后就目前常用的几种防御方法进行分析,比较其优劣。最后,本文将以实例展示如

			
		

	





	

		

			

				
					
在Django预防CSRF攻击的操作

				
			

			

				

					09-17
				

			

		

		

			
				
主要介绍了在Django预防CSRF攻击的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
全网免费Token的生成和解析,第一期

				
			

			

				

					m0_74381444的博客
				

				

					11-04
					
					2109
					
				

			

		

		

			
				
JWT案例,实现Token的生成和解析

			
		

	





	

		

			

				
					
token详解以及应用原理

					
热门推荐

				
			

			

				

					cmj6706的博客
				

				

					01-11
					
					2万+
					
				

			

		

		

			
				
一、我们先解释一下Token的含义1、Token的引入:		Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。2、Token的定义:		Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户

			
		

	





	

		

			

				
					
获取Request Token

				
			

			

				

					lj102800的专栏
				

				

					10-31
					
					5036
					
				

			

		

		

			
				
获取Request Token步骤
使用
Oauth-signpost项目
生成
consumer = new CommonsHttpOAuthConsumer(Constants.CONSUMER_KEY, Constants.CONSUMER_SECRET);
provider = new CommonsHttpOAuthProvider(Constants.REQUEST_URL,

			
		

	





	

		

			

				
					
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击

				
			

			

				

					程序缘
				

				

					01-19
					
					155
					
				

			

		

		

			
				
web安全

			
		

	





	

		

			

				
					
接口测试requests库,cookie、token认证

				
			

			

				

					Strive_0902的博客
				

				

					12-18
					
					1656
					
				

			

		

		

			
				
接口测试requests库,cookie、token认证

			
		

	





	

		

			

				
					
解析token

					
最新发布

				
			

			

				

					lldhhs4554的博客
				

				

					01-24
					
					465
					
				

			

		

		

			
				
3.方法:获取token,打印。

			
		

	





	

		

			

				
					
JavaEE:使用JWT生成/解析token,实现登录/验证token功能

				
			

			

				

					a526001650a的专栏
				

				

					07-15
					
					5566
					
				

			

		

		

			
				
说明:

JWT能创建/解析token,一般由客户端上传手机号与验证码,服务器生成token,返回token给客户端,客户端使用此token访问其他需要登录的接口。

SpringBoot配置:https://blog.csdn.net/a526001650a/article/details/106687559

一、利用JWT生成/解析token,实现登录功能:
1.导入JWT依赖:


<!-- 导入JWT依赖 -->
<dependency>
   <groupId...

			
		

	





	

		

			

				
					
java生成token及解析token

				
			

			

				

					m0_59933286的博客
				

				

					09-27
					
					5003
					
				

			

		

		

			
				
我用的Jwts是io.jsonwebtoken下的,可自行下载jar包,或maven配置。

			
		

	





	

		

			

				
					
安卓QQ第三方登陆

				
			

			

				

					youling22
				

				

					05-02
					
					354
					
				

			

		

		

			
				
QQ第三方登陆
1、下载sdk:https://wiki.open.qq.com/wiki/mobile/SDK下载
2、将open-sdk.jar放到libs  添加依赖implementation fileTree(dir: 'libs', include: '*.jar')
3.配置AndroidManifest
<activity
       android:name="com....

			
		

	





	

		

			

				
					
掌握Laravel模型的定义和使用和Laravel框架对CSRF攻击的处理方式实验总结

				
			

			

				

					05-25
				

			

		

		

			
				
一、Laravel模型的定义和使用

1. 定义模型

在Laravel,我们可以通过使用Artisan命令`php artisan make:model ModelName`来创建一个模型,模型文件将会被创建在`app`目录下的`Models`文件夹。

2. 使用模型

在使用模型之前,需要先引入模型类。然后,我们就可以使用模型提供的方法进行数据库操作了。

例如,我们可以使用`all()`方法获取表所有记录:

```
use App\Models\ModelName;

$models = ModelName::all();
```

我们也可以使用`find($id)`方法获取指定ID的记录:

```
$model = ModelName::find($id);
```

二、Laravel框架对CSRF攻击的处理方式

CSRF(Cross-site request forgery)攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下,对某个网站发起非法请求。Laravel框架提供了一些内置的保护机制来防止CSRF攻击。

1. CSRF Token

在Laravel,每个表单都应该包含一个CSRF令牌,这个令牌会在用户访问站点时自动生成,并且包含在每个表单的隐藏字段。当用户提交表单时,Laravel会验证这个令牌是否有效。如果令牌无效,Laravel会抛出一个异常。

在表单,我们可以使用`csrf_field()`函数来生成CSRF令牌:

```
<form method="POST" action="/example">
    {{ csrf_field() }}
    <!-- 表单字段 -->
</form>
```

2. X-CSRF-Token头

除了在表单使用CSRF令牌,还可以在AJAX请求使用X-CSRF-Token头。Laravel会自动在每个响应包含一个名为`X-CSRF-Token`的头部,我们可以在AJAX请求将这个头部带上。

例如,在AJAX请求,我们可以使用jQuery来设置X-CSRF-Token头部:

```
$.ajaxSetup({
    headers: {
        'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content')
    }
});
```

在HTML头部,我们需要设置一个名为`csrf-token`的meta标签,以便获取CSRF令牌:

```
<meta name="csrf-token" content="{{ csrf_token() }}">
```

总之,Laravel提供了多种方式来防止CSRF攻击,开发者只需要按照要求使用相关的保护机制即可。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值