php中间件1009无标题,php – Laravel CSRF中间件未检查X-CSRF-TOKEN请求标头

最新推荐文章于 2022-10-30 20:05:28 发布
最新推荐文章于 2022-10-30 20:05:28 发布
阅读量220 收藏 1
点赞数
文章标签: Laravel CSRF 令牌验证 Ajax Middleware

中间件:

use Closure;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

public function handle($request, Closure $next)

{

return parent::handle($request, $next);

}

}

使用Javascript:

$.ajaxSetup({

headers: {

'X-CSRF-TOKEN': 'wrong-token-to-test',

'X-XSRF-TOKEN': 'another-wrong-token-to-test',

}

});

刀:

$.ajax({

method: "POST",

url: "{{url("login/$user")}}",

data: {

"email": $("#email").val(),

"password": CryptoJS.SHA256($('#password').val()).toString(),

"_token": "{{csrf_token()}}"

}

})

即使对csrf令牌使用错误的Http头值(‘wrong-token-to-test’)也不会导致任何令牌不匹配异常.请求正常处理.这是否意味着Laravel没有检查X-CSRF-TOKEN标头?

解决方法:

Laravel首先尝试从get或post中的_token参数获取CSRF令牌,如果丢失,那么它会尝试从X-CSRF-TOKEN获取它.这是/ vendor / laravel / framework / src / Illuminate / Foundation / Http / Middleware / VerifyCsrfToken中的代码中的实现逻辑,方法tokensMatch:

$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

但是你已经在ajax帖子中有效地包含了_token参数(并且具有正确的值):

"_token": "{{csrf_token()}}"

因此,您在X-CSRF-TOKEN标头中发送的内容无关紧要.

标签:php,laravel,ajax,csrf,middleware

来源: https://codeday.me/bug/20190829/1761242.html

杏仁菌子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ajax crsf laravel,Laravel上实现CSRF保护
weixin_36227730的博客
08-05 337
环境Laravel5.4什么是CSRF?维基百科的解释如下:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任...
superagent-django-csrf:修补程序,将cookie中的`csrftoken`作为X-CSRFToken`标头添加到每个超级代理的请求
05-02
superagent-django-csrf 补丁加csrftoken从饼干作为X-CSRFToken头球每个SuperAgent的要求。 用法 // Just require patch require ( 'superagent-django-csrf' ) ; 安装 npm install superagent-django-csrf 执照 麻省理工学院:copyright:
wx.request请求eggjs报invalid csrf token
最新发布
ky1in93的博客
10-30 302
如图可以看到在request中,我们已经把 x-csrf-token 塞到header中了,web断的request会 默认把cookie带上,小程序需要自己维护。原因是除了header,还需要把cookie手动塞进去。
X-CSRF-Token
01-24 1万+
Odata服务HTTP测试总是出现烦人的 CSRF token validation failed (for all modifying requests)忽略下图中的报文错误 怀疑是服务器参数的设置问题,临时应急的话可以先针对这个服务把CSRF校验关掉 SICF找到这个服务 增加一个参数 Modifying request的CSRF这样的工作的: 用一个非修改(non-m...
php每次请求制造一个token,php csrf问题,一个请求生成一个csrf key token,但是界面用了两个POST?汗血宝马...
weixin_42112658的博客
03-27 253
登录和注册放在一起了,但是一个请求只有一份csrf的key和token,这里会有两个POST,那这个怎么办呢?我想到的是,分开或者一个成功后刷新页面没关系的呀,审核的csrf_token 都是session给的,我懂了,您的csrf_token是 放表单里的对吧,您可以放在meta标签里呀,通过ajax提交表单。或者甩在form外面每次异步提交就无所谓了,渲染视图的时候放在meta标签里或者丢出去...
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 983
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
backbone.csrf:为所有Backbone同步请求配置X-CSRFToken标头
04-29
尽管在少数情况下, Backbone应用程序在没有任何后端框架(例如Django , Rails , Play等)的情况下独自运行,但Backbone本身缺乏对csrf令牌身份验证的支持,大多数后端Web框架都出于客户端请求而要求客户端请求...
asgi-csrf:ASGI中间件,用于防御CSRF攻击
05-26
中间件实现了,该中设置了cookie,然后将其与csrftoken隐藏表单字段或x-csrftoken HTTP标头进行比较。 用法 像这样装饰您的ASGI应用程序: from asgi_csrf import asgi_csrf from . my_asgi_app import app app...
Teino1978-Corp-spring-security-csrf-token-interceptor-
04-29
它通过默认情况下对/进行AJAX HTTP HEAD调用来做到这一点,然后检索HTTP标头'X-CSRF-TOKEN'并在所有HTTP请求上设置相同的令牌。 spring-security-csrf-token-interceptor还支持配置CSRF标头名称,在出现Forbidden...
koa-csrf-header:检查 HTTP 标头字段中的 CSRF 令牌
05-30
Koa CSRF 头验证 的不支持将 CSRF 令牌验证为 HTTP 标头字段。 该软件包专门提供了该替代方案。 此方法需要启用客户端 ... 默认情况下, ctx.session.csrfToken用于保留令牌。 这是一个使用默认选项的示例。
laravel token ajax,Laravel中ajax post操作需要传递csrf token的最优化解决方式
weixin_39737317的博客
08-05 650
Laravel框架中为了防止csrf攻击,规定只要是post操作都要传递_token值,如果是普通表单那么只要在form中添加@csrf代码就可以了,如果采用ajax方式提交post请求时,最简单的解决办法是在每次ajax post提交的参数中追加一个_token字段,但是每次都手动去追加这条数据即麻烦又不美观。很多文章为了简单会推荐直接关闭Laravel的强制csrf校验或者通过设置app\H...
php页面input隐藏,如何用php获取某个页面中的input的csrf_token
weixin_35628611的博客
03-24 94
好问题,我这里有最好的答案。composer包:"symfony/css-selector": "3.1.*","symfony/dom-crawler": "3.1.*","guzzlehttp/guzzle": "6.2.*"php代码$body = (new \GuzzleHttp\Client)->get('http://bosonnlp.com/account/login')-&g...
php 防止跨域提交表单,跨域post 及 使用token防止csrf 攻击
weixin_39848953的博客
03-21 407
环境:后台使用的python - flask前台使用angular框架1.一个跨域post的样例:样例使用的为iframe,想要证明,在没有进行csrf防御时,随意攻击者能够利用javascript发送 post 请求。从而简单的提交或获取数据资料;1.本地test.html页面POSTfunction test() {crossDomainPost({url: 'http://localhost...
php 模拟访问csrf,详解php curl带有csrf-token验证模拟提交方法
weixin_30465829的博客
03-11 162
通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。要想模拟提交有token验证的网站其实也不难。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子目录结构│ form.php ?需要模拟的表单│ getForm.php ? 模拟提交程序│ post.php ?表单验证程序│└─cookie ? cookie存放目录getForm.php$cookie...
网络爬虫中X-CSRF-Token和Status 403问题解决方案(Java或Python)
qy20115549的博客
08-03 6919
本文作者:合肥工业大学 电子商务研究所 钱洋 email:1563178220@qq.com 。 内容可能有不到之处,欢迎交流。 经本人允许禁止转载。 文章目录问题情景1和解决方案问题情景2和解决方案 问题情景1和解决方案 **在很多POST请求中,经常会加入一些字段来控制会话或者数据的表单提交。**例如,在京东的模拟登陆中,并不是你在Java或者python程序中,直接输入用户名密码就能登陆成...
爬虫请求头遇见了X-CSRF-Token和c-token如何解决
热门推荐
qq_39138295的博客
05-06 2万+
如果遇见了,大多都是对token的加密。 今天遇见了这样一个网站: 想要获取验证码图片。抓包获取之后: requests.post()请求啊,但是请求之后一直在被网站拒绝,一直在报403.。 后来回头重新看,才发现请求头中是有X-CSRF-Token和c-token来识别身份的。 这个网站比较简单,这两个值是一样的。 然后就找这两值所在的界面嘛。 全局搜索之后,发现这个是明文传输...
Laravel 学习之 XSRF-TOKEN 验证问题
weixin_33910434的博客
07-24 2022
近日在学习laravel,在写登录模块时用ajax-post传递数据,一直报TokenMismatchException错误,后了解需要在html代码中添加如下代码 //<head>标签中添加如下 <meta name="csrf-token" content="{{ csrf_token()}}">代码 在发起a...
laravelcsrf token 的了解及使用
weixin_30435261的博客
10-24 333
之前在项目中因为没有弄清楚csrf token的使用,导致发请求的话,一直请求失败,今天就一起来看一下csrf的一些东西。 1.Cross-site request forgery 跨站请求伪造,也被称为 “one click attack” 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。CSRF 则通过伪装来自受信任用户的请求来利用受信任的...
ajax跨域 csrf,如何使用CSRF令牌进行跨域Ajax调用?
weixin_39883906的博客
08-06 359
我在Django应用程序模板中有一个典型的登录表单(它直接使用Bootstrap,而不是通过某个插件): {% csrf_token %}Please sign inLogin:Password:Sign in下面是通过requests module执行远程身份验证的相应视图:^{pr2}${js{Ajax成功的原因是,{csa3}为了其他目的,我可以通过远程Javascript进行一次查询(例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值