Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。
Laravel提供了一个全局帮助函数 csrf_token
来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>"> 该段代码等同于全局帮助函数csrf_field
的输出:
在Blade模板引擎中还可以使用如下方式调用:
{!! csrf_field() !!}
3、从CSRF验证中排除指定URL
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken
(app/Http/Middleware/VerifyCsrfToken.php
)中间件中将要排除的请求URL添加到$except
属性数组中:
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* 指定从 CSRF 验证中排除的URL
*
* @var array
*/
protected $except = [
'testCsrf'
];
}
X-CSRF-Token及其使用:
使用Ajax 提交post表单 可以把 Token 存在 meta 中
<meta name="csrf-token" content="{{ csrf_token() }}">
然后在全局Ajax中使用这种方式设置X-CSRF-Token
请求头并提交
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });
Laravel中CSRF验证原理分析
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php
第90行start
方法),对应源码如下:
public function start() { $this->loadSession(); if (! $this->has('_token')) { $this->regenerateToken(); } return $this->started = true; }
VerifyToken 是中间件 -> handle()->isReading(判断请求的方式 排除get,head,options) -> showPassThough 判断 路由是否在$except 内排除 做了排除也不验证 最后通过 TokenMatch 方法判断 CSRF TOKEN 值和SESSION 中的TOKEN 是否相等 相同则通过验证
否则 抛出异常 :tokensMatch
方法首先从Request中获取_token
参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN
请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN
请求头的值,需要注意的是X-XSRF-TOKEN
请求头的值需要调用Encrypter
的decrypt
方法进行解密。
2)然后重点分析VerifyToken
中间件的handle
方法,该方法中先通过isReading
方法判断请求方式,如果请求方法是HEAD
、GET
、OPTIONS
其中一种,则不做CSRF验证;
3)再通过shouldPassThrough
方法判断请求路由是否在$excpet
属性数组中进行了排除,如果做了排除也不做验证;
4)最后通过tokensMatch
方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException
异常。
对应源码如下:
public function handle($request, Closure $next) { if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) { return $this->addCookieToResponse($request, $next($request)); } throw new TokenMismatchException; }