PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)

最新推荐文章于 2021-03-18 05:02:00 发布
最新推荐文章于 2021-03-18 05:02:00 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: PHP PHP-Laravel 文章标签: Laravel php CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz00008888/article/details/114026880
版权
一、什么是 CSRF
`CSRF (Cross-site request forgery)`, 中文名称:`跨站请求伪造`。

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。

由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。

![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a9676ffcd8a040a09~tplv-k3u1fbpfcp-watermark.image)
二、Laravel 框架如何处理 CSRF

例如:通过另外一台未授权服务器访问我们的服务器,如果是恶意攻击会很尴尬,所以可以通过去服务器获取页面回来的时候,附带一个令牌,前端显示页面之后,有访问操作的时候需要将令牌带回服务器验证比较。

  • 重点:Laravel 框架如何处理 CSRF

    定义在 routes/web.php 文件中的路由,默认就有 CSRF 验证功能

    定义在 routes/api.php 文件中的路由,默认没有 CSRF 验证功能

  • CSRF 什么时候用?什么时候不用?

    前端页面路由需要用 CSRF,接口路由不能使用 CSRF

三、Laravel 框架如何排除指定路由不进行 CSRF 验证

  • 并不是所有请求都需要避免 CSRF 攻击,比如去第三方 API 获取数据的请求。

  • 可以通过在 VerifyCsrfToken (app/Http/Middleware/ VerifyCsrfToken.php)中间件中将要排除的请求 URL 添加到 $except 属性数组中。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * Indicates whether the XSRF-TOKEN cookie should be set on the response.
     *
     * @var bool
     */
    protected $addHttpCookie = true;

    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        // 把想排除的路由规则卸载此数组中
        // 把该路由的规则不进行 CSRF 验证
        '/alipay'
    ];
}
卡尔特斯
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Laravel框架对csrf攻击的处理方式
MminQAQ的博客
06-28 448
CSRF(Cross-Site Request Forgery)攻击是一种常见的Web安全威胁,也被称为跨站请求伪造攻击或Session Riding。CSRF攻击利用了用户对特定网站的认证凭证(如Cookie或会话)来执行未经授权的操作。
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 627
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
laravel csrf使用以及禁用
Grave burn paper
09-24 563
方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为: php namespace App\Http\Middleware; use Closure; use
laravel中 URL 不做 CSRF 安全校验的两种方法
钚该钚想
04-22 701
任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数csrf_field: 如: <form method="POST" action="/profile"> {{ csrf_field() }} ... &lt...
Laravel开发-cookie-csrf
08-27
Laravel中,可以使用`Cookie::make()`方法创建cookie,`Cookie::queue()`方法将cookie添加到响应中,而`Cookie::get()`则用于读取cookie值。同时,Laravel提供了cookie加密和安全性的内置支持,确保数据在传输过程...
Laravel开发-visualcaptcha-laravel-jquery
08-28
6. **后端验证**:在 Laravel 控制器中,使用 `VisualCaptcha\Validator` 类来进行验证验证。例如,在用户登录或注册的处理方法中: ```php use VisualCaptcha\Validator; ... public function store...
Laravel开发-kommerce-laravel
08-28
6. **中间件**:Laravel 中间件可以执行特定的代码,比如验证用户登录状态、处理CSRF保护等,这些在Kommerce-laravel 应用中非常关键,可以确保用户安全和操作合法性。 7. **Artisan 命令行工具**:Laravel 提供了 ...
Laravel开发-laravel-common
08-28
- Laravel内置了强大的表单验证功能,通过`validate()`方法在控制器中轻松实现,或者使用`FormRequest`类进行更灵活的验证规则定义。 7. **Artisan 命令行工具**: - Artisan是Laravel自带的命令行工具,提供了一...
Laravel开发-laravel
08-28
- Laravel 默认启用 CSRF 保护,防止跨站请求伪造。 - 用户认证和授权系统为应用程序提供了安全的基础。 通过 "laravel-master" 文件,你可能获得一个完整的 Laravel 项目示例,包含了项目结构、配置文件、控制器...
Laravel基础之CSRF保护
蛐蛐的博客
11-07 795
1.简介 Laravel使您可以轻松保护应用程序免受跨站点请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意利用,利用这种手段,代表经过身份验证的用户执行未经授权的命令。 Laravel为应用程序管理的每个活动用户会话自动生成一个CSRF“令牌”。 此令牌用于验证经过身份验证的用户是实际向应用程序发出请求的用户。 每当您在应用程序中定义HTML表单时,都应在表单中包含一个隐藏的CSRF令牌字段,以便CSRF保护中间件可以验证请求。 您可以使用@csrf Blade指令生成令牌字段: ...
Laravel(在前后端分离时,存在跨域时)的api(只在post请求时)如何验证X-CSRF-TOKEN
fyonecon
11-05 3500
参考1:https://segmentfault.com/q/1010000003038534《aravel 在做api接口的时候如何验证 X-CSRF-TOKEN》 参考2:https://laravel-china.org/docs/laravel/5.4/csrf/1228#CSRF- 《Laravel 下的伪造跨站请求保护 CSRFLaravel版本:55 写api时...
php csrf攻击教程,HTTP路由实例教程(三)—— CSRF攻击原理及其防护
weixin_28957063的博客
03-18 253
HTTP路由实例教程(三)—— CSRF攻击原理及其防护由 学院君 创建于5年前, 最后更新于 11个月前版本号 #377487 views92 likes0 collects1、什么是CSRF攻击CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护,可查看Github上的这个项目:理解CSRF,说得比较详细和透彻。2、Larave...
Laravel中的CSRF
weixin_34124939的博客
07-14 132
跨站点请求伪造CSRF攻击 攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。 LaravelCSRF处理 在开启session时为每个session分配一个token public function regenerateToken() { $this->put('_token',...
PHP-CSRF原理和防御
spaceX_91的博客
02-25 638
CSRF的全名为Cross-site request forgery,它的中文名为跨站请求伪造,CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对页面浏览器的信任,XSS则利用了系统对用户的信任。 其实可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。 原理: 从上图能够看出,要完毕一次CSRF攻击,受...
Laravel 5.5 的 CSRF 保护
彳亍
06-23 1008
简介CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。Laravel 可以轻松地保护应用程序免受 跨站请求伪造 (CSRF) 的攻击。Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。任何情况下当你在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSR...
Laravel - CSRF token禁用方法
鑫的专栏
11-23 6673
关闭Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:方法一打开文件:app\Http\Kernel.php把这行注释掉: protected $middleware = [ \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class, \App\Http\Middleware\EncryptCookie
laravel框架的基础学习路线(不带composer的)
铁柱的博客
12-21 1039
首先,博主这里一直用的都是laravel的一键安装包,所以一直没有用composer来操作过laravel。很多事情不用composer也能完成。这里主要是写给公司同事的一个laravel框架入手顺序。记录一下。。1、了解各个文件目录代表的意思,知道MVC以及样式,配置的位置2、了解laravel的路由机制。以及路由的格式,对应的get,post,any请求Route路由的三种方式 <a h
Laravel 5.3+ 如何定义API路径(取消CSRF保护)
昊喵喵博士
11-30 1017
Laravel 5.3+开始,API路径被放入了routes/api.php中。我们绝大多数的路径其实都会在web.php中定义,因为在web.php中定义的路径默认有CSRF保护,而API路径默认没有CSRF保护。在Laravel官网文档中写到: Any HTML forms pointing to POST, PUT, or DELETE routes that are defined ...
掌握Laravel中模型的定义和使用和Laravel框架对CSRF攻击的处理方式实验总结
最新发布
05-25
一、Laravel中模型的定义和使用 1. 定义模型 在Laravel中,我们可以通过使用Artisan命令`php artisan make:model ModelName`来创建一个模型,模型文件将会被创建在`app`目录下的`Models`文件夹中。 2. 使用模型 在使用模型之前,需要先引入模型类。然后,我们就可以使用模型提供的方法进行数据库操作了。 例如,我们可以使用`all()`方法获取表中所有记录: ``` use App\Models\ModelName; $models = ModelName::all(); ``` 我们也可以使用`find($id)`方法获取指定ID的记录: ``` $model = ModelName::find($id); ``` 二、Laravel框架对CSRF攻击的处理方式 CSRF(Cross-site request forgery)攻击是指攻击者利用用户已经登录的身份,在用户不知情的情况下,对某个网站发起非法请求。Laravel框架提供了一些内置的保护机制来防止CSRF攻击。 1. CSRF Token 在Laravel中,每个表单都应该包含一个CSRF令牌,这个令牌会在用户访问站点时自动生成,并且包含在每个表单的隐藏字段中。当用户提交表单时,Laravel验证这个令牌是否有效。如果令牌无效,Laravel会抛出一个异常。 在表单中,我们可以使用`csrf_field()`函数来生成CSRF令牌: ``` <form method="POST" action="/example"> {{ csrf_field() }} <!-- 表单字段 --> </form> ``` 2. X-CSRF-Token头 除了在表单中使用CSRF令牌,还可以在AJAX请求中使用X-CSRF-Token头。Laravel会自动在每个响应中包含一个名为`X-CSRF-Token`的头部,我们可以在AJAX请求中将这个头部带上。 例如,在AJAX请求中,我们可以使用jQuery来设置X-CSRF-Token头部: ``` $.ajaxSetup({ headers: { 'X-CSRF-Token': $('meta[name="csrf-token"]').attr('content') } }); ``` 在HTML头部中,我们需要设置一个名为`csrf-token`的meta标签,以便获取CSRF令牌: ``` <meta name="csrf-token" content="{{ csrf_token() }}"> ``` 总之,Laravel提供了多种方式来防止CSRF攻击,开发者只需要按照要求使用相关的保护机制即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卡尔特斯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值