作者信息

长期闲置

长风破浪会有时,直挂云帆济沧海。

最近文章
ajax请求时post和get的区别是什么865
ajax默认是异步请求吗346
cors和ajax的区别是什么620
视频教程分类
推荐视频教程
  • php程序员小白到大牛三个月集训php程序员小白到大牛三个月集训
  • Laravel 9 学习正当时—保姆级教程,想学不会都难!Laravel 9 学习正当时—保姆级教程,想学不会都难!
  • 千万级数据并发解决方案(理论+实战)千万级数据并发解决方案(理论+实战)
  • Laravel基础与实战(模块化)Laravel基础与实战(模块化)
  • 首页 >php框架 >Laravel > 正文

    csrf攻击在laravel中的解决方法

    原创2022-06-21 16:07:53931 关注公众号:每天精选资源文章推送

    解决方法:1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败;2、提供了一个全局帮助函数“csrf_token”来获取Token值,只需在视图提交表单中添加token代码即可,语法为“<...value= php="" echo="">”。

    本文操作环境:Windows10系统、Laravel9版、Dell G3电脑。

    csrf攻击在laravel中的解决方法

    CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写;

    Laravel框架中避免CSRF攻击很简单:

    1、Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。)

    2、 Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

    <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

    Laravel中如何避免CSRF攻击

    案例:通过案例实现csrf的机制验证
    1、创建两个路由,一个用于展示表单(get),另外处理请求(post)

    Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

    2、创建需要的方法

    	 public function test6(){
            return view('home.test.test6');
         }
         public function test7()
         {
             return "请求提交成功";
         }

    3、创建需要的简易表单

    在这里插入图片描述

    4、提交效果(报错页面)

    在这里插入图片描述

    结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的。

    5、解决报错问题(如何通过csrf验证)
    解决思路:带上csrf需要token值,随着请求传递给后续的方法

    <form action="/home/test/test7" method="post">
        用户名:<input type="text" name="username"><br>
        <input type="hidden" name="_token" value="{{csrf_token()}}">
        {{csrf_field()}}
        <input type="submit" value="提交"></form>

    针对csrf_token方法的简化:{{csrf_field()}}

    具体的表现形式:

    在这里插入图片描述

    两者的区别:
    Csrf_token只是输出token的值
    Csrf_field输出了一个整个的input隐藏域

    在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

    从CSRF验证中排除例外路由

    并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
    可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

    通过编写配置设置例外:
    单个路由排除写法

     'home.test.test6',

    多个元素之间通过“,”分割,遵循数组写法。

    'home.test.test6','home.test.test7'

    如果需要排除全部路由使用csrf的话,则可以写成:

    '*'

    【相关推荐:laravel视频教程

    以上就是csrf攻击在laravel中的解决方法的详细内容,更多请关注php中文网其它相关文章!

    20期PHP线上班

    声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。

  • 相关标签:Laravel
  • 推荐:PHP从基础到实战教程视频

    相关文章

    相关视频


    专题推荐