站长家园(原代码之家)(www.adminjie.com)网站源码,微信源码,游戏源码,商业源码分享平台。
当前位置:网站首页 技术文章 网络编程 正文

csrf攻击在laravel中的解决方法

时间:2022-06-23 [网络编程]作者:fabuyuan 浏览:1 次

解决方法:1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败;2、提供了一个全局帮助函数“csrf_token”来获取Token值,只需在视图提交表单中添加token代码即可,语法为“<...value= php="" echo="">”。

本文操作环境:Windows10系统、Laravel9版、Dell G3电脑。

csrf攻击在laravel中的解决方法

CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写;

Laravel框架中避免CSRF攻击很简单:

1、Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。)

2、 Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel中如何避免CSRF攻击

案例:通过案例实现csrf的机制验证
1、创建两个路由,一个用于展示表单(get),另外处理请求(post)

Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

2、创建需要的方法

	 public function test6(){
        return view('home.test.test6');
     }
     public function test7()
     {
         return "请求提交成功";
     }

3、创建需要的简易表单

4、提交效果(报错页面)

结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的。

5、解决报错问题(如何通过csrf验证)
解决思路:带上csrf需要token值,随着请求传递给后续的方法

<form action="/home/test/test7" method="post">
    用户名:<input type="text" name="username"><br>
    <input type="hidden" name="_token" value="{{csrf_token()}}">
    {{csrf_field()}}
    <input type="submit" value="提交"></form>

针对csrf_token方法的简化:{{csrf_field()}}

具体的表现形式:

两者的区别:
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

通过编写配置设置例外:
单个路由排除写法

 'home.test.test6',

多个元素之间通过“,”分割,遵循数组写法。

'home.test.test6','home.test.test7'

如果需要排除全部路由使用csrf的话,则可以写成:

'*'

【相关推荐:laravel视频教程

以上就是csrf攻击在laravel中的解决方法的详细内容,更多请关注站长家园其它相关文章!

本文标签:  Laravel

转载请注明来源:csrf攻击在laravel中的解决方法

本文永久链接地址:https://www.adminjie.com/post/13798.html

免责声明:
本站所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。

附:
二○○二年一月一日《计算机软件保护条例》第十七条规定:为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬!鉴于此,也希望大家按此说明研究软件!

版权声明:
一、本站致力于为软件爱好者提供国内外软件开发技术和软件共享,着力为用户提供优资资源。
二、本站提供的部分源码下载文件为网络共享资源,请于下载后的24小时内删除。如需体验更多乐趣,还请支持正版。
三、我站提供用户下载的所有内容均转自互联网。如有内容侵犯您的版权或其他利益的,若有侵犯你的权益请:提交版权证明文件到邮箱 2225329873#qq.com(#换为@) 站长会进行审查之后,情况属实的会在三个工作日内为您删除。

  • 站长家园(原代码之家)会员升级
  • 最新文章
    • csrf攻击在laravel中的解决方法

      csrf攻击在laravel中的解决方法

      解决方法:1、利用Laravel自动为每个用户Session生成了一个“CSRFToken”,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则...

    • laravel的5.2和5.6版本有什么区别

      laravel的5.2和5.6版本有什么区别

      laravel的5.2和5.6版本的区别:1、5.6版本的所有前端脚手架和Vue组件实例全部基于“Bootstrap4”,并且默认搭配了“Bootstrap...

    • mysql怎么修改存储引擎为innodb

      mysql怎么修改存储引擎为innodb

      两种修改方法:1、使用SET语句临时修改默认存储引擎,语法为“SETdefault_storage_engine=innodb;”,当重启客户端后就会恢复为原...

    • laravel队列能做什么

      laravel队列能做什么

      在laravel中,队列可以用于允许在表的前端进行删除操作,而在表的后端进行插入操作;队列是一种操作受限制的线性表,进行插入操作的称为队尾,删除操作的端被称为队...

    • laravel5.1怎么关闭csrf

      laravel5.1怎么关闭csrf

      方法:1、将“app\Http\Kernel.php”文件中的“App\Http\Middleware\VerifyCsrfToken”代码注释掉可以全局关闭c...

    热门文章