CSRF攻击

CSRF攻击

什么是CSRF攻击

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

Laravel框架中避免CSRF攻击很简单：Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。（和验证码的原理基本一致，验证密码也是一致的）

Laravel提供了一个全局帮助函数 csrf_token 来获取该Token值，因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token，名字固定写为_token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>

Laravel如何避免CSRF攻击

案例：通过案例实现CSRF的机制验证
1.创建两个路由，一个用于展示表单（get)，另外处理请求（post）

//csrf验证 Route::get('/home/test6','home\TestController@test6'); Route::get('/home/test6','home\TestController@test7');
2.创建需要的方法
public function test6(){ return view('user\test6'); } public function test7(){ return "请求提交成功"; }
3.创建需要的简易表单
`

姓名： `

结论：通过刚才的案例，说明在laravel中CSRF验证是开启的

4.解决方法
解决思路：带上CSRF需要token值，随着请求传递给后续的方法

<input type="hidden" name="_token" value="{{csrf_token()}}">

简化csrf_token方法的简化：
{{csrf_field()}}
具体的表现形式：
两者区别csrf_token只是输出token的值
csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择：大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的，表现需要使用csrf_token的，这种情况介绍使用异步提交表单的方式。

异步提交ajax提交 $.get(url,{_token:});

从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据请求。
可以通过在VerifyCsrfToken.php（app/http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：

通过编写设置例外，单个路由：

protected $except = [
//该处写需排除CSRF验证的路由
];

排除所有路由：’*’;