vlambda博客
学习文章列表

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解



17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

1、什么是CSRF攻击

CSRF跨站请求伪造Cross-site request forgery)的英文缩写:

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致

Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token

<input type="hidden"name="_token" value="<?php echo csrf_token(); ?>">

2、Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证

①创建两个路由,一个用于展示表单(get),另外处理请求(post

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

②创建需要的方法

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

③创建需要的简易表单

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

效果:

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

④提交效果(报错页面)

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

结论:通过刚才的案例,说明在laravelcsrf验证机制默认是开启的

 

⑤解决报错问题(如何通过csrf验证)

解决思路:带上csrf需要token值,随着请求传递给后续的方法

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

针对csrf_token方法的简化:{{csrf_field()}}

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

具体的表现形式:

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

两者的区别:

Csrf_token只是输出token的值

Csrf_field输出了一个整个的input隐藏域

 

在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

 

3、从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

可以通过在VerifyCsrfTokenapp/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

通过编写配置设置例外:

单个路由排除写法

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解

 

多个元素之间通过“,”分割,遵循数组写法。

 

 

如果需要排除全部路由使用csrf的话,则可以写成:

17.)PHPWeb开发框架~Laravel中CSRF攻击原理讲解




扫描二维码

获取更多精彩

小帅搜




我就知道你在看!



白昼渐长,漫长的夏天愈渐浓烈

浓烈似离别的愁情