Laravel 5.4 官方文档摘记:CSRF保护

最新推荐文章于 2024-12-25 00:16:53 发布
最新推荐文章于 2024-12-25 00:16:53 发布
阅读量625 收藏
点赞数
分类专栏: laravel

CSRF保护

简介

前面说过,要在所有提交给Laravel的form表单中加入{{csrf_field()}}标签,这个模板会渲染出一个令牌,来防止CSRF攻击。

这里解释一下为什么一定要加入该标签。在app\Http\Kernel.php(kernel : 核心),设置的全局中间件之一:

\Illuminate\Foundation\Http\Middleware\ValidatePostSize::class

会对提交过来的表单进行上述令牌的验证,其他中间件的作用以后遇到再说。

解除CSRF保护

文档上的那个例子我是没有看懂,但是我看懂了怎么解除该保护,那就是把你不需要验证的路由设置在上述中间件文件中:

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     * 翻译一下就是下面的URL地址是被排除在CSRF保护之外的
     * @var array
     */
    protected $except = [
        //这里就是举个例子
        'users/store'    
    ];
}

X-CSRF-Token

这个东西是什么我也不知道,但是知道怎么用。

  1. 在HTML页面的meta中使用{{csrf_token()}} 进行渲染
  2. 如果直接form表单提交的话那么就没关系,如果是Ajax进行提交的话,需要将下面的内容一起提交给后台。
$.ajaxSetUp({
    headers:{
        'X-CSRF-TOKEN':$("meta[name='csrf-token']").attr('content')
    }
});

这一段纯Jquery代码就不解释了。

5.4

Laravel 5 报错信息存在严重漏洞
众生度尽,方证菩提
08-06 619
靠自己生活,灵魂都是安宁的。
《不花钱解决网络安全问题》摘记:第二章 保护网络边界
zzguard的专栏
08-13 1023
《不花钱解决网络安全问题》摘记:安全防护千万条,保护边界第一条
csrf保护php,CSRF保护 | 基础组件 | Laravel 5.4 中文文档
weixin_35517006的博客
04-01 220
CSRF保护由 学院君 创建于4年前, 最后更新于 1年前版本号 #230001 views13 likes0 collects1、简介跨站请求伪造(CSRF)是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 让应用避免遭到跨站请求伪造攻击变得简单。Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人...
laravel框架 5.4 关于验证和添加存在的bug
weixin_33937913的博客
07-11 109
今天本地测试添加用户没有问题。提交到服务器就报错 sql语句找不到User.user_name字段;后来请教了一位大神,他告诉我 首先匹配服务器环境最好一至,我再执行验证的时候有一个有个查询的过程也就是验证用户唯一性的unique方法,这个方法是有参数的!'User.user_name'=>'required|between:4,32|unique:user,use...
Laravel5.4 反序列化
akdelt的博客
04-30 1196
复现的第一条 php 的链子,真的比 java 友好太多了 555。另外不止这一条链子,这位师傅给了4Laravel5.4 反序列化漏洞挖掘 - 先知社区 (aliyun.com)
Laravel设置某个URL跳过csrf例外的方法
wgchen
09-29 478
阅读目录 1、 首先打开项目下的/app/Http/Middleware目录中的VerifyCsrfToken.php文件 2、 编辑添加我们不需要验证csrf的URL地址 <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /*
UNIX学习高手摘记:风趣知识,深入理解操作系统
"这是一份关于UNIX操作系统的高手摘记,内容包括UNIX的基础知识、系统管理、编程技巧等,适合正在学习UNIX的读者。" 在UNIX操作系统的世界里,它以其高效、稳定和强大的命令行工具而著称。这份高手摘记深入浅出地...
Cpp摘记:函数指针、函数模版、类模板
最新发布
zfoox的摘记
12-25 986
1. 函数指针 2. 函数模版 3. 类模板
《不花钱解决网络安全问题》摘记:第五章 管理事件日志
zzguard的专栏
08-13 810
《不花钱解决网络安全问题》:没有日志管理,就没有对安全状态的分析和证明。
《不花钱解决网络安全问题》摘记:第四章 设置入侵检测系统
zzguard的专栏
08-13 536
《不花钱解决网络安全问题》: IDS, IPS 部署注意事项和解决方案。
Laravel框架中,Post请求返回419或者500,因为默认有csrf验证
悠悠余香
03-29 7779
解决:打开文件:app\Http\Middleware\VerifyCsrfToken.php, 全部关闭 use Closure; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * ...
laravel5.3 api.php,Laravel5.3+框架定义API路径取消CSRF保护方法详解
weixin_39713686的博客
03-11 111
Laravel 5.3+开始,API路径被放入了routes/api.php中。我们绝大多数的路径其实都会在web.php中定义,因为在web.php中定义的路径默认有CSRF保护,而API路径默认没有CSRF保护。在Laravel官网文档中写到:/p>Any HTML forms pointing to POST, PUT, or DELETE routes that are defin...
laravel中关闭CSRF的方法
woshihaiyong168的博客
11-18 1273
在框架中一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
laravel postman 提交表单出现419错误。2020年7月6日记。
weixin_45316408的博客
07-06 1657
最近在学习laraveel入门,学到了上传和下载这个部分,因为还没有学到控制器和视图,所以就用postman模拟提交表单,上传了一个小文件。 但是用postman提交表单上传文件的时候,出现 了419错误,这个是因为csrf的限制。解决方案百度之后的结果大概有3个 注释掉中间件 ...
laravel框架中,微信第三方平台授权事件接收URL无法接收到微信的推送
小馒头丶
07-10 2487
    在刚刚开发第三方平台的时候,发现已经审核通过的“授权事件接收URL”接收不到微信每十分钟推送的ComponentVerifyTicket后来经过测试发现!!!在laravel中要把这个路径添加到“VerifyCsrfToken”。    因为微信推送是post请求,所以在框架里会有CSRF请求。当你加进“VerifyCsrfToken”的时候。就可以正常访问了&lt;?php names...
laravel中关闭csrf方法
兔子的博客
12-29 879
CSRF攻击和漏洞的参考文章: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.htmlLaravel默认是开启了CSRF功能,关闭此功能的方法:方法一 打开文件:app\Http\Kernel.php把这行注释掉:'App\Http\Middleware\VerifyCsrfToken'方法二 打开文件:app\Http\Mid
移除 CSRF token
迷失的鱼的博客
05-08 1296
解决办法2: 移除 CSRF token也可以在指定页面移除CSRF保护:/app/Http/Middleware/VerifyCsrfToken.php&lt;?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class V...
laravel免除csrf验证
xiaonanhaijing的博客
03-20 298
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array
laravel中 URL 不做 CSRF 安全校验的两种方法
钚该钚想
04-22 783
任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数csrf_field: 如: <form method="POST" action="/profile"> {{ csrf_field() }} ... &lt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值