Laravel中的CSRF

最新推荐文章于 2023-06-28 00:12:26 发布
最新推荐文章于 2023-06-28 00:12:26 发布
阅读量141 收藏
点赞数
文章标签: php 测试
原文链接:https://segmentfault.com/a/1190000010186265
版权

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {

    $this->put('_token', Str::random(40));

    }

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
    {

    if (
    $this->isReading($request) ||
    $this->runningUnitTests() ||
    $this->inExceptArray($request) ||
    $this->tokensMatch($request)
) {
    return $this->addCookieToResponse($request, $next($request));
}

throw new TokenMismatchException;

    }

- `$this->isReading()`判断请求是否是`['HEAD', 'GET', 'OPTIONS']`这三种请求。
- `$this->runningUnitTests()`判断程序是否正在进行单元测试。
- `$this->inExceptArray()`判断请求是否需要进行Crsf验证。
- `$this->tokensMatch()`进行token验证。

        protected function tokensMatch($request)
        {
            // 获取请求url中的token
            $token = $this->getTokenFromRequest($request);
    
            return is_string($request->session()->token()) &&
                   is_string($token) &&
                   hash_equals($request->session()->token(), $token);
        }

        protected function getTokenFromRequest($request)
        {
            $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
    
            if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
                $token = $this->encrypter->decrypt($header);
            }
    
            return $token;
        }

  1. 验证通过后将csrf token加入响应包的cookie里,然后通过验证将请求通过next递交给下一个处理件。

    protected function addCookieToResponse($request, $response)
    {

    $config = config('session');

$response->headers->setCookie(
    new Cookie(
        'XSRF-TOKEN', $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config['lifetime'],
        $config['path'], $config['domain'], $config['secure'], false
    )
);

return $response;

    }

weixin_34124939
关注
Laravel 源码分析---Pineline
math_chao的博客
05-12 1169
laravel 框架,Illuminate\Pipeline\Pipeline 类是实现 laravel 间件功能的重要工具之一。他的作用是,将一系列有序可执行的任务依次执行。也有人把这种功能成为管道模式,比如下面这篇文章的介绍: Laravel 管道设计模式的使用 —— 间件实现原理探究 今天我们就来探究一下 Pipeline 类的功能和源码。 Pipeline 的使用 Pi...
Laravel 源码分析---Container
math_chao的博客
05-07 1774
Container 简介 Container 是 laravel 框架的核心之一,laravel 框架类的实例化、存储和管理都是由 Container 来负责的。laravel 里面的 Container 本质上是一个 IOC (Inversion of Control/控制反转) 容器,是用来实现依赖注入(DI/Dependency Injection)的。也有人把这种设计成为服务定位模式。...
laravel源码分析
weixin_43762261的博客
03-22 1151
make方法从容器解析指定的值为实际的类,比如$app>make(Illuminate\\Contracts\\Http\\Kernel::class) 解析 App\\Http\\Kernel::class-> handle方法对http请求进行处理 实际上是handle的sendRequestThroughRouter处理的http请求 首先,将request绑定到共享实例 ,执行$this->bootstrap()方法,运行给定的引导类数组$bootstrappers,这里很关键,包括了加载配置文
Laravel 源码分析---Application 对 ServiceProvider 的管理与使用
math_chao的博客
05-09 613
Laravel 框架 ServiceProvider 的实例化、注册、启动、延迟加载等管理功能都是由框架的核心类 Application 来完成的。Application 是框架最核心的类,管理整个框架的启动、运行以及整个生命周期,并通过 ServiceProvider 将其他功能的模块载入框架。Application 是 Container 类的子类,所以也管理者框架其他类的实例化、存储等功...
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1489
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
laravelcsrf 防御机制详解,及formcsrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel免除csrf验证
xiaonanhaijing的博客
03-20 272
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array
laravel篇之CSRF
李澎昆的博客
01-13 5308
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进行正...
Laravel框架对csrf攻击的处理方式
最新发布
MminQAQ的博客
06-28 495
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
laravel5源码分析
03-19
laravel5源码详细分析,包括ORM、容器、队列等源码详解
laravel源码详解
07-21
本项目针对 laravel 5.4 各个重要模块的源码进行了较为详尽的分析,希望给 想要了解 laravel 底层原理与源码的同学一些指引。
Laravel Database——Eloquent Model 源码分析(下)
cangqiong_xiamen的博客
08-11 277
获取模型 get 函数 public function get($columns = ['*']) { $builder = $this->applyScopes(); if (count($models = $builder->getModels($columns)) > 0) { $models = $builder->eagerLoadRelations($models); } return $builder->getM
Laravel 源码分析---概述与目录
math_chao的博客
05-23 732
laravel 自诞生以来,以其优雅简洁的语法、强大的功能得到了越来越多人的喜爱,也成为了目前最流行的PHP框架。 The PHP Framework For Web Artisans 声称专门为 Web 艺术家而开发的 laravel 框架,确实以非常优雅的方式实现了非常强大的功能,为 Web 开发提供了非常多的便利。并且 laravel 框架的基础上开发第三方没款并整合到 lar...
Laravel 源码解读
热门推荐
Mreden的博客
07-06 1万+
本文转载于:http://yuez.me/laravel-yuan-ma-jie-du/?utm_source=tuicool&utm_medium=referral Laravel 源码解读 为WEB艺术家创造的框架 由SitePoint发起的2015年最流行WEB框架的调查Laravel已巨大的优势获得了商用使用 数量、个人项目使用数量
laravel源码分析-队列Queue
Max一直在学习
01-07 616
laravel 源码分析具体注释见 https://github.com/FX-Max/source-analysis-laravel 前言 队列 (Queue) 是 laravel 比较常用的一个功能,队列的目的是将耗时的任务延时处理,比如发送邮件,从而大幅度缩短 Web 请求和响应的时间。本文我们就来分析下队列创建和执行的源码。 队列任务的创建 先通过命令创建一个 Job 类,成功之后会创建如下文件 laravel-src/laravel/app/Jobs/DemoJob.php。 > ph.
Laravel Database——Eloquent Model 源码分析(上)
cangqiong_xiamen的博客
08-10 532
前面几个博客向大家介绍了查询构造器的原理与源码,然而查询构造器更多是为 Eloquent Model 服务的,我们对数据库操作更加方便的是使用 Eloquent Model。 本篇文章将会大家介绍 Model 的一些特性原理。 Eloquent Model 修改器 当我们在 Eloquent 模型实例设置某些属性值的时候,修改器允许对 Eloquent 属性值进行格式化。如果对修改器不熟悉,请参考官方文档:Eloquent: 修改器 下面先看看修改器的原理: public function offsetS
Laravel源码分析——一次Http请求到响应
hisense20112784的博客
08-22 1640
1前言 在FastCGI协议下工作的php-fpm, 使用持续的进程来处理一连串的请求, 具体到某个请求的解析流程的时候, 如果不考虑扩展的方式, 基本上都是顺序的解析处理. 所以就算复杂如Laravel框架, 他也是一个顺序的加载解析过程. 本地打断点可以完整的走一遍框架的加载逻辑. 但是你可能并不一定十分理解为什么框架要这么做? 或者他这一步究竟是干嘛的? 本文就尽可能的提取L
Laravel 框架源码分析笔记
fendouweiqian的博客
07-31 383
实现command错误信息提示 原理解析: 源码文件: [console\Appliaction] $allCommands 存储了命令别名, 然后匹配控制台传入的命令, 存在相同的字眼则提示信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值