Laravel中CSRF攻击

最新推荐文章于 2022-06-15 16:40:39 发布
最新推荐文章于 2022-06-15 16:40:39 发布
阅读量146 收藏
点赞数
分类专栏: Laravel基础 文章标签: laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44103733/article/details/113881864
版权

本文目录

一、CSRF攻击

1、什么是CSRF 攻击?

CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写:
Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。)
Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

2、Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证
1、创建两个路由,一个用于展示表单(get),另外处理请求(post)
/showtable 展示表单 get
/posttable 提交表单 post
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
效果:
在这里插入图片描述
在这里插入图片描述
说明Laravel框架默认是开启了csrf认证的。
修改showtable.blade.php里的代码如下:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
说明这个token验证是成功了,所以跨站的没办法验证通过,只能在当前站点访问。
除了csrf_token()还有一种方法csrf_field(),前者表示直接输出token值,后者表示直接输出整个隐藏域的input框;
如下:
在这里插入图片描述
一般在视图里用csrf_field即可,大部分的时候在javascript代码片段中(特别是在做ajax异步提交的时候)可以考虑用csrf_token。

3、从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件将要排除的请求URL添加到$except属性数组中:
在这里插入图片描述

在学习的php的路上,如果你觉得本文对你有所帮助的话,那就请关注点赞评论三连吧,谢谢,你的肯定是我写博的另一个支持。

你华还是你华
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Laravel-CSRF攻击
秃行者-行星
08-31 189
CSRF攻击 CSRF攻击是跨站请求伪造(Cross-site request forgery)的英文缩写, Laravel框架避免CSRF攻击很简单,laravel自动为每个用户Session生成一个CSRF Token,该Token可用于验证登录用户和发起者请求是否是同一个人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf token来获取Token值,因此只需要在视图提交表单添加如下HTML代码即可在请求带上Token: <input type=”hidden” n
laravel框架(CSRF攻击)【重点】
qq_43383765的博客
04-14 441
一、CSRF攻击 XSS、SQL注入 1.什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgey)的英文缩写 Laravel框架避免CSRF攻击很简单:laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否为同一人,如果不是则请求失败。【该原理和验证码的原理是一致】 Laravel提供了...
Laravel框架CSRF攻击
weixin_43366149的博客
04-14 168
在平时的生活 我们经常遇到网络诈骗 。类似的攻击者通过各种手段给我们发送误导信息 篡改网页 内容 使我们上当受骗。而CSRF(跨站请求伪造)就是利用的网站对用户网页浏览器的信任,通过一些 技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息, 甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户 操作而去运行。这利用了web...
Laravel防范xss攻击
Sumshine12.5
04-10 2871
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
laravel篇之CSRF
李澎昆的博客
01-13 5273
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架的使用,就是在客户端form表单设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单的_token与session的_token是否一致,一致就进行正...
Laravel开发-cookie-csrf
08-27
Laravel,为了防止这种攻击,框架会自动生成一个CSRF token,并将其放入表单的隐藏字段或HTTP头部的X-CSRF-TOKEN。当用户提交表单时,Laravel会验证这个token,如果与session的token不匹配,就会拒绝请求。 ...
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
10-16
Laravel 内置了 CSRF 保护机制,通过在表单隐含一个 CSRF 令牌来防止这种攻击。 当您收到 "419 Page Expired" 错误,这通常意味着您的 AJAX 请求没有正确地携带 CSRF 令牌,导致服务器无法验证请求的合法性。以下...
laravel-docs:Laravel文文档
02-04
Laravel内置了CSRF防护,自动处理XSS攻击,并且可以通过JWT或Session进行认证,确保用户登录安全。 12. **API开发** Laravel的API开发友好,支持JSON响应、Swagger文档生成、速率限制等特性,便于构建RESTful API...
laravel5.5文手册
10-23
- CSRF 保护:防止跨站请求伪造攻击,自动在每个表单插入 CSRF 令牌。 14. **错误与日志** - 错误处理:自定义错误页面,记录错误日志,提供优雅的错误处理。 - 日志系统:通过配置文件选择不同的日志驱动,如...
Laravel开发-laravel-token
08-28
Laravel框架,令牌(Token)主要...总结,Laravel的令牌管理是其安全性的重要组成部分,无论是用于防止CSRF攻击,还是在API身份验证。理解并正确使用这些机制,能够有效地保护你的应用程序免受潜在的安全威胁。
Laravel框架学习(CSRF
野蛮秘籍
03-09 9071
CSRF攻击原理及其防护1、CSRF攻击是what? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。2、Laravel如何避免CSRF攻击 Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。Laravel提供了一个全局帮助函数csr
laravel教程
weixin_55261016的博客
06-15 1146
php.ini配置文件需要开启的扩展:extension=php_openssl.dllextension=php_pdo_mysql.dllextension=php_mbstring.dllextension=php_fileinfo.dll(验证码代码依赖需要该扩展)extension=php_curl.dll(主要用于请求的发送)如果要解决“”这样的问题,则需要下面的两个方法解决: 常见的四个方法:get方法:表示匹配请求类型为get的请求...
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)
卡尔特斯
02-24 1151
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
Laravel如何避免CSRF攻击
weixin_30898109的博客
06-07 411
Laravel框架避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。 Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视提交图表单添加如下HTML代码即可在请求带上Token: <input type="hidden...
laravel的DB类数据库操作
你华还是你华
02-10 3496
本文目录一、DB类操作数据库(重点)1.1、数据表的创建与配置1.2、数据库在laravel框架的配置1.3、在Test控制器引入DB门面1.3.1、定义增删改查需要的路由: 一、DB类操作数据库(重点) 按照MVC的架构,对数据的操作应该放在Model完成,但如果不使用Model,我们也可以用laravel框架提供的DB类操作数据库,而且,对于某些极其复杂的sql,用Model已经很难完成,需要开发者自己手写sql语句,使用DB类去执行原生sql。laravelDB类的基本用法DB::table[
laravel的联表查询
你华还是你华
04-20 1463
本文目录一、联表查询1.1 创建迁移文件1.2 执行迁移文件1.3 模拟数据(通过填充器)1.4 联表查询例子二、关联模型(重点)2.1 一对一关系2.2 一对多关系2.3 多对多关系(抽象) 一、联表查询 联表要求至少得有2张表(除了自己【表】连接自己【表】,自联查询),并且还是存在关系的两张表。 例如:可以建立2张表:文章表、作者表。 文章表(article): id 主键 Article_name 文章名称,varchar(50),not null Author_id 作者id,i
laravel一对多关联模型
你华还是你华
04-20 1389
本文目录一、关联模型(一对多)1.1 一对多关系 一、关联模型(一对多) 1.1 一对多关系 例:一篇文章有多个评论。 由于文章和评论的关系是一对多的关系,所以需要再去创建一个数据表(评论表)。 字段id 主键 字段comment 评论内容 字段article_id 和文章的关系字段,文章id 迁移文件的创建 php artisan make:migration comment_table 增加属性字段: public function up() { Sch
掌握Laravel模型的定义和使用和Laravel框架对CSRF攻击的处理方式实验总结
最新发布
05-25
一、Laravel模型的定义和使用 1. 定义模型 在Laravel,我们可以通过使用Artisan命令`...总之,Laravel提供了多种方式来防止CSRF攻击,开发者只需要按照要求使用相关的保护机制即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你华还是你华

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值