您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
这篇文章主要介绍“csrf攻击在laravel中如何解决”的相关知识,小编通过实际案例向大家展示操作过程,操作方法简单快捷,实用性强,希望这篇“csrf攻击在laravel中如何解决”文章能帮助大家解决问题。
解决方法:1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败;2、提供了一个全局帮助函数“csrf_token”来获取Token值,只需在视图提交表单中添加token代码即可,语法为“<...value= php="" echo="">”。
本文操作环境:Windows10系统、Laravel9版、Dell G3电脑。
CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写;
Laravel框架中避免CSRF攻击很简单:
1、Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。)
2、 Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
案例:通过案例实现csrf的机制验证
1、创建两个路由,一个用于展示表单(get),另外处理请求(post)
Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');2、创建需要的方法
public function test6(){
return view('home.test.test6');
}
public function test7()
{
return "请求提交成功";
}3、创建需要的简易表单
4、提交效果(报错页面)
结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的。
5、解决报错问题(如何通过csrf验证)
解决思路:带上csrf需要token值,随着请求传递给后续的方法
<form action="/home/test/test7" method="post">
用户名:<input type="text" name="username"><br>
<input type="hidden" name="_token" value="{{csrf_token()}}">
{{csrf_field()}}
<input type="submit" value="提交"></form>针对csrf_token方法的简化:{{csrf_field()}}
两者的区别:
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域
在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:
通过编写配置设置例外:
单个路由排除写法
'home.test.test6',
多个元素之间通过“,”分割,遵循数组写法。
'home.test.test6','home.test.test7'
如果需要排除全部路由使用csrf的话,则可以写成:
'*'
关于“csrf攻击在laravel中如何解决”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识,可以关注亿速云行业资讯频道,小编每天都会为大家更新不同的知识点。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。