Laravel框架CSRF攻击

最新推荐文章于 2021-08-01 11:02:53 发布
最新推荐文章于 2021-08-01 11:02:53 发布
阅读量168 收藏 1
点赞数
分类专栏: php 文章标签: php laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43366149/article/details/105511548
版权

在平时的生活中 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用 户的浏览器,却不能保证请求本身是用户自愿发出的。

示例:
假如一家银行用以运行转账操作的URL地址如下:
http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么,一个恶意攻击者可以在另一个网站上放置如下代码:
< img src=“http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman”>

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。

透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。

                                                                 **-----示例转自百度百科**

所以为了防止这种事情的出现 ,Laravel框架出现了一个新的验证方式

< input type=“hidden” name="_token" value="{{csrf_token()}}" >

这个csrf_token()的原理就是当用户访问需要登陆信息的页面的时候,会生成一个csrf的随机字符串,并且cookie中也存放了这个随机字符串,当用户再次提交数据的时候会带着这个随机字符串提交,如果没有这个随机字符串则无法提交成功,系统会认为csrf攻击从而拒绝该请求。

这种方法使csrf攻击的成功率大大降低,使攻击者无机可乘。

万里不留行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel-CSRF攻击
秃行者-行星
08-31 189
CSRF攻击 CSRF攻击是跨站请求伪造(Cross-site request forgery)的英文缩写, Laravel框架中避免CSRF攻击很简单,laravel自动为每个用户Session生成一个CSRF Token,该Token可用于验证登录用户和发起者请求是否是同一个人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf token来获取Token值,因此只需要在视图提交表单中添加如下HTML代码即可在请求中带上Token: <input type=”hidden” n
laravel框架CSRF攻击)【重点】
qq_43383765的博客
04-14 441
一、CSRF攻击 XSS、SQL注入 1.什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgey)的英文缩写 Laravel框架中避免CSRF攻击很简单:laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否为同一人,如果不是则请求失败。【该原理和验证码的原理是一致】 Laravel提供了...
LaravelCSRF攻击
瑾的日常
08-01 347
1、什么是CSRF 攻击CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token: <inpu
Laravel中如何避免CSRF攻击
weixin_30898109的博客
06-07 411
Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token: <input type="hidden...
Laravel框架学习(CSRF
野蛮秘籍
03-09 9071
CSRF攻击原理及其防护1、CSRF攻击是what? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。2、Laravel中如何避免CSRF攻击 Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。Laravel提供了一个全局帮助函数csr
浅谈laravel框架与thinkPHP框架的区别
10-16
其次,Laravel对跨站请求伪造(CSRF)有内置的防护机制,要求在POST表单中包含`{{csrf_field()}}`,否则会出现`TokenMethodNotFound`错误。相反,ThinkPHP则需要开发者自行编写防止跨站攻击的代码,这为开发者提供了...
laravel框架开发的考试系统
12-19
Laravel框架提供了许多强大的功能,如路由、中间件、控制器、模板引擎、数据库迁移、Eloquent ORM等,非常适合构建复杂的Web应用,比如本例中的考试系统。 1. **安装与配置** 在部署这个laravel开发的考试系统时,...
Laravel开发-cookie-csrf
08-27
Laravel框架中,Cookie和CSRF(Cross-Site Request Forgery,跨站请求伪造)是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件,...
Laravel框架关键技术解析.pdf
03-26
同时,框架内置了CSRF保护,防止跨站请求伪造攻击,确保应用的安全性。 通过深入学习和理解这些关键技术,开发者可以更高效地利用Laravel框架构建高质量的Web应用。无论是初学者还是经验丰富的开发者,都能从中受益...
Laravel--CSRF的方法
Iam8600的博客
11-17 9072
                                     Laravel--CSRF的方法     在框架中一般情况下报这种错误的都是csrf攻击未关闭   那么我们可以关闭这种csrf有以下两种方法:   第一种 打开文件路径:app\Http\Kernel.php 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrf...
php Laravel框架 使用validate进行验证
weixin_43366149的博客
04-17 1546
第一步 创建两个路由一个get一个post 然后在控制器创建方法 创建视图界面 里面的input可以根据自己的需要进行更改 this−>validate(this->validate(this−>validate(request,[ ‘email’=>‘required|email’, //不能为空 邮箱格式 ‘name’=>‘required|min:2|ma...
Laravel框架 view视图的使用
weixin_43366149的博客
04-01 692
一、 找到views文件夹 新建一个php文件 二、在新建的文件里写入简单的html代码 三、找到routes文件夹下的web.php打开 四、输入路由代码 五、打开Apache 输入路由地址 成功✌ ...
Laravel框架 验证码的实现
weixin_43366149的博客
04-28 378
首先确认是否支持composer 如果不支持 请跳转我之前的csdn博客 点击跳转 1、安装扩展包 使用命令栏跳转到laravel文件夹下,输入 composer require mews/captcha 出现绿色开始安装 安装成功 用完了不要关还有用 2、配置config/app.php文件 在此处添加’Captcha’=>Mews\Captcha\Facades\captcha...
Laravel框架上传文件
weixin_43366149的博客
04-23 370
路由文件 Route::get('csrfget','AssController@csrfget'); Route::post('csrfpost','AssController@csrfpost')->name('postC'); 界面显示主要内容 < form action="/csrfpost" method="post" enctype="multipart/form-d...
laravel框架 数据库迁移 (一)创建列
weixin_43366149的博客
05-07 335
首先在命令行创建一个迁移文件: php artisan make:migration create_testpaper_table 打开database\migrations文件夹下的新创建好的php文件可以看到已经配置了一些东西 要运行应用中所有未执行的迁移,可以使用 Artisan 命令提供的migrate方法: php artisan migrate 在命令行输入上面指令就可以在数据库创建出...
laravel框架 blade父类继承
weixin_43366149的博客
04-13 326
主要代码: @include(‘common.header’) 包含子视图 @extends(‘article.common.base’) 继承基础模板 @yield(‘content’) 视图占位符 @section(‘content’) @endsection继承模板后向视图占位符中填入内容 {{-- 注释 --}} Blade模板中注释的使用 首先创建两个视图文件 后缀名里必须带.blade...
php Laravel框架模型
weixin_43366149的博客
03-28 314
1、定义模型的位置 定义模型的位置,默认是在laravel默认文件夹app目录下面 2、命名要求 没有严格的要求 ,一般为 :首字母大写.php such as : User.php 3、创建模型 可以在根目录下使用artisan命令: php artisan make:model Member 成功 如果出现以下报错请确认是否在根目录下 创建好后的文件内容 4、注意事项 1.必须定义一个$...
写一个实验总结:Laravel框架用模型实现数据库的操作。 2.Laravel框架CSRF攻击的处理方式
最新发布
05-25
跨站请求伪造(Cross-site request forgery,CSRF)是一种常见的Web攻击方式,Laravel框架提供了内置的防护机制来防止CSRF攻击。在实验中,我们使用了Laravel框架自带的CSRF中间件来保护我们的应用程序,该中间件会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值