Laravel源码分析----CSRF处理

最新推荐文章于 2023-03-22 23:05:01 发布
原创 最新推荐文章于 2023-03-22 23:05:01 发布 · 715 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf

本文探讨了跨站点请求伪造(CSRF)攻击的概念,以及Laravel框架如何有效地处理这种安全威胁。Laravel在开启session时为每个用户分配一个唯一的token,并通过VerifyCsrfToken中间件进行核心处理,包括特定请求类型的排除、单元测试状态检查和token验证。验证通过后,token会被存储在响应的cookie中,确保请求的安全性。

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {
    $this->put('_token', Str::random(40));
}

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}
    • $this->isReading()判断请求是否是['HEAD', 'GET', 'OPTIONS']这三种请求。
    • $this->runningUnitTests()判断程序是否正在进行单元测试。
    • $this->inExceptArray()判断请求是否需要进行Crsf验证。

    • $this-&

最低0.47元/天 解锁文章
Laravel 源码分析---Pineline
math_chao的博客
05-12 1253
laravel 框架中,Illuminate\Pipeline\Pipeline 类是实现 laravel 中间件功能的重要工具之一。他的作用是,将一系列有序可执行的任务依次执行。也有人把这种功能成为管道模式,比如下面这篇文章的介绍: Laravel 中管道设计模式的使用 —— 中间件实现原理探究 今天我们就来探究一下 Pipeline 类的功能和源码。 Pipeline 的使用 Pi...
Laravel 源码分析---Container
math_chao的博客
05-07 1868
Container 简介 Container 是 laravel 框架的核心之一,laravel 框架中类的实例化、存储和管理都是由 Container 来负责的。laravel 里面的 Container 本质上是一个 IOC (Inversion of Control/控制反转) 容器,是用来实现依赖注入(DI/Dependency Injection)的。也有人把这种设计成为服务定位模式。...
laravel5源码分析
03-19
laravel5源码详细分析,包括ORM、容器、队列等源码详解
Laravel中的CSRF
weixin_34124939的博客
07-14 188
跨站点请求伪造CSRF攻击 攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。 LaravelCSRF处理 在开启session时为每个session分配一个token public function regenerateToken() { $this->put('_token',...
laravel源码分析
weixin_43762261的博客
03-22 1552
make方法从容器中解析指定的值为实际的类,比如$app>make(Illuminate\\Contracts\\Http\\Kernel::class) 解析 App\\Http\\Kernel::class-> handle方法对http请求进行处理 实际上是handle中的sendRequestThroughRouter处理的http请求 首先,将request绑定到共享实例 ,执行$this->bootstrap()方法,运行给定的引导类数组$bootstrappers,这里很关键,包括了加载配置文
Laravel开发-laravel-express
08-28
"laravel-express-master"这个文件名可能是项目的源码仓库,里面可能包含了完整的Laravel项目结构,包括配置文件、控制器、模型、视图、路由文件等,学习者可以通过分析和实践这些代码来深入了解Laravel的运作机制和...
Laravel与iview-admin整合开发项目
通过分析 Laravel 的控制器方法与模型关系,掌握业务逻辑实现方式;通过查看前端 store/modules/user.js 或 api/login.js 等文件,了解状态管理和接口调用封装策略。 此外,此类项目通常还会集成 JWT(JSON Web ...
商业源码-编程源码-天天水果店源码.zip
06-17
1. **Web开发框架**:源码可能基于某个流行的Web开发框架,例如Spring Boot、Django、Laravel或React,开发者需要了解这些框架的使用方法和架构原理。 2. **数据库设计**:源码中可能涉及到MySQL、PostgreSQL或其他...
商业源码-编程源码-GaGeB2B电子商务网站源码.zip
06-15
3. **源码分析**: 源码是软件开发的基础,理解源码可以帮助我们了解系统的架构、功能实现和编程技巧。分析源码可以学习到编程语言的应用、框架选择、数据库交互、用户界面设计等多个方面。 4. **编程语言**: 根据...
Laravel 源码分析---Application 对 ServiceProvider 的管理与使用
math_chao的博客
05-09 676
Laravel 框架中 ServiceProvider 的实例化、注册、启动、延迟加载等管理功能都是由框架的核心类 Application 来完成的。Application 是框架最核心的类,管理整个框架的启动、运行以及整个生命周期,并通过 ServiceProvider 将其他功能的模块载入框架。Application 是 Container 类的子类,所以也管理者框架中其他类的实例化、存储等功...
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
10-16
laravelcsrf 防御机制详解,及对laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
laravel源码详解
07-21
本项目针对 laravel 5.4 各个重要模块的源码进行了较为详尽的分析,希望给 想要了解 laravel 底层原理与源码的同学一些指引。
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1581
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
Laravel Database——Eloquent Model 源码分析(下)
cangqiong_xiamen的博客
08-11 348
获取模型 get 函数 public function get($columns = ['*']) { $builder = $this->applyScopes(); if (count($models = $builder->getModels($columns)) > 0) { $models = $builder->eagerLoadRelations($models); } return $builder->getM
Laravel 源码分析---概述与目录
math_chao的博客
05-23 795
laravel 自诞生以来,以其优雅简洁的语法、强大的功能得到了越来越多人的喜爱,也成为了目前最流行的PHP框架。 The PHP Framework For Web Artisans 声称专门为 Web 艺术家而开发的 laravel 框架,确实以非常优雅的方式实现了非常强大的功能,为 Web 开发提供了非常多的便利。并且 laravel 框架的基础上开发第三方没款并整合到 lar...
Laravel 源码解读
热门推荐
Mreden的博客
07-06 1万+
本文转载于:http://yuez.me/laravel-yuan-ma-jie-du/?utm_source=tuicool&utm_medium=referral Laravel 源码解读 为WEB艺术家创造的框架 由SitePoint发起的2015年最流行WEB框架的调查中,Laravel已巨大的优势获得了商用使用 数量、个人项目使用数量
laravel源码分析-队列Queue
Max一直在学习
01-07 708
laravel 源码分析具体注释见 https://github.com/FX-Max/source-analysis-laravel 前言 队列 (Queue) 是 laravel 中比较常用的一个功能,队列的目的是将耗时的任务延时处理,比如发送邮件,从而大幅度缩短 Web 请求和响应的时间。本文我们就来分析下队列创建和执行的源码。 队列任务的创建 先通过命令创建一个 Job 类,成功之后会创建如下文件 laravel-src/laravel/app/Jobs/DemoJob.php。 > ph.
Laravel Database——Eloquent Model 源码分析(上)
cangqiong_xiamen的博客
08-10 587
前面几个博客向大家介绍了查询构造器的原理与源码,然而查询构造器更多是为 Eloquent Model 服务的,我们对数据库操作更加方便的是使用 Eloquent Model。 本篇文章将会大家介绍 Model 的一些特性原理。 Eloquent Model 修改器 当我们在 Eloquent 模型实例中设置某些属性值的时候,修改器允许对 Eloquent 属性值进行格式化。如果对修改器不熟悉,请参考官方文档:Eloquent: 修改器 下面先看看修改器的原理: public function offsetS
Laravel源码分析——一次Http请求到响应
hisense20112784的博客
08-22 1730
1前言 在FastCGI协议下工作的php-fpm, 使用持续的进程来处理一连串的请求, 具体到某个请求的解析流程的时候, 如果不考虑扩展的方式, 基本上都是顺序的解析处理. 所以就算复杂如Laravel框架, 他也是一个顺序的加载解析过程. 本地打断点可以完整的走一遍框架的加载逻辑. 但是你可能并不一定十分理解为什么框架要这么做? 或者他这一步究竟是干嘛的? 本文就尽可能的提取L
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值