PHP Laravel 框架的 session cookie 的安全设置

最新推荐文章于 2024-04-04 10:41:18 发布
原创 最新推荐文章于 2024-04-04 10:41:18 发布 · 1.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #laravel #java

今天主要说Laravel中的session cookie的安全设置。

在实际项目中出现 本地开发是80端口  , 生产环境是443端口,在session上面有一些差别的我呢题。

文件位于 Laravel框架中的 config/session.php中

大部分代码是没有问题的,现在咱们一起看一下整体的代码。

<?php

use Illuminate\Support\Str;

return [

    /*
    |--------------------------------------------------------------------------
    | Default Session Driver
    |--------------------------------------------------------------------------
    |
    | This option controls the default session "driver" that will be used on
    | requests. By default, we will use the lightweight native driver but
    | you may specify any of the other wonderful drivers provided here.
    |
    | Supported: "file", "cookie", "database", "apc",
    |            "memcached", "redis", "dynamodb", "array"
    |
    */

    'driver' => env('SESSION_DRIVER', 'file'),

    /*
    |--------------------------------------------------------------------------
    | Session Lifetime
    |--------------------------------------------------------------------------
    |
    | Here you may specify the number of minutes that you wish the session
    | to be allowed to remain idle before it expires. If you want them
    | to immediately expire on the browser closing, set that option.
    |
    */

    'lifetime' => env('SESSION_LIFETIME', 120),

    'expire_on_close' => false,

    /*
    |--------------------------------------------------------------------------
    | Session Encryption
    |--------------------------------------------------------------------------
    |
    | This option allows you to easily specify that all of your session data
    | should be encrypted before it is stored. All encryption will be run
    | automatically by Laravel and you can use the Session like normal.
    |
    */

    'encrypt' => false,

    /*
    |--------------------------------------------------------------------------
    | Session File Location
    |--------------------------------------------------------------------------
    |
    | When using the native session driver, we need a location where session
    | files may be stored. A default has been set for you but a different
    | location may be specified. This is only needed for file sessions.
    |
    */

    'files' => storage_path('framework/sessions'),

    /*
    |--------------------------------------------------------------------------
    | Session Database Connection
    |--------------------------------------------------------------------------
    |
    | When using the "database" or "redis" session drivers, you may specify a
    | connection that should be used to manage these sessions. This should
    | correspond to a connection in your database configuration options.
    |
    */

    'connection' => env('SESSION_CONNECTION'),

    /*
    |--------------------------------------------------------------------------
    | Session Database Table
    |--------------------------------------------------------------------------
    |
    | When using the "database" session driver, you may specify the table we
    | should use to manage the sessions. Of course, a sensible default is
    | provided for you; however, you are free to change this as needed.
    |
    */

    'table' => 'sessions',

    /*
    |--------------------------------------------------------------------------
    | Session Cache Store
    |--------------------------------------------------------------------------
    |
    | While using one of the framework's cache driven session backends you may
    | list a cache store that should be used for these sessions. This value
    | must match with one of the application's configured cache "stores".
    |
    | Affects: "apc", "dynamodb", "memcached", "redis"
    |
    */

    'store' => env('SESSION_STORE'),

    /*
    |--------------------------------------------------------------------------
    | Session Sweeping Lottery
    |--------------------------------------------------------------------------
    |
    | Some session drivers must manually sweep their storage location to get
    | rid of old sessions from storage. Here are the chances that it will
    | happen on a given request. By default, the odds are 2 out of 100.
    |
    */

    'lottery' => [2, 100],

    /*
    |--------------------------------------------------------------------------
    | Session Cookie Name
    |--------------------------------------------------------------------------
    |
    | Here you may change the name of the cookie used to identify a session
    | instance by ID. The name specified here will get used every time a
    | new session cookie is created by the framework for every driver.
    |
    */

    'cookie' => env(
        'SESSION_COOKIE',
        Str::slug(env('APP_NAME', 'laravel'), '_').'_session'
    ),

    /*
    |--------------------------------------------------------------------------
    | Session Cookie Path
    |--------------------------------------------------------------------------
    |
    | The session cookie path determines the path for which the cookie will
    | be regarded as available. Typically, this will be the root path of
    | your application but you are free to change this when necessary.
    |
    */

    'path' => '/',

    /*
    |--------------------------------------------------------------------------
    | Session Cookie Domain
    |--------------------------------------------------------------------------
    |
    | Here you may change the domain of the cookie used to identify a session
    | in your application. This will determine which domains the cookie is
    | available to in your application. A sensible default has been set.
    |
    */

    'domain' => env('SESSION_DOMAIN'),

    /*
    |--------------------------------------------------------------------------
    | HTTPS Only Cookies
    |--------------------------------------------------------------------------
    |
    | By setting this option to true, session cookies will only be sent back
    | to the server if the browser has a HTTPS connection. This will keep
    | the cookie from being sent to you when it can't be done securely.
    |
    */

    'secure' => env('SESSION_SECURE_COOKIE',false),

    /*
    |--------------------------------------------------------------------------
    | HTTP Access Only
    |--------------------------------------------------------------------------
    |
    | Setting this value to true will prevent JavaScript from accessing the
    | value of the cookie and the cookie will only be accessible through
    | the HTTP protocol. You are free to modify this option if needed.
    |
    */

    'http_only' => true,

    /*
    |--------------------------------------------------------------------------
    | Same-Site Cookies
    |--------------------------------------------------------------------------
    |
    | This option determines how your cookies behave when cross-site requests
    | take place, and can be used to mitigate CSRF attacks. By default, we
    | will set this value to "lax" since this is a secure default value.
    |
    | Supported: "lax", "strict", "none", null
    |
    */

    'same_site' => 'lax',

];

大部分的配置项目都是很好理解的, 这里不再赘述。说两个非常关键的配置项目。

    /*
    |--------------------------------------------------------------------------
    | HTTPS Only Cookies
    |--------------------------------------------------------------------------
    |
    | By setting this option to true, session cookies will only be sent back
    | to the server if the browser has a HTTPS connection. This will keep
    | the cookie from being sent to you when it can't be done securely.
    |
    */

    'secure' => env('SESSION_SECURE_COOKIE',false),

    /*
    |--------------------------------------------------------------------------
    | HTTP Access Only
    |--------------------------------------------------------------------------
    |
    | Setting this value to true will prevent JavaScript from accessing the
    | value of the cookie and the cookie will only be accessible through
    | the HTTP protocol. You are free to modify this option if needed.
    |
    */

    'http_only' => true,

‘secure‘ 设置的说明:

这个设置指定了是否只发送 session cookies 到服务器,如果浏览器有一个 HTTPS 连接。如果设置为 true,那么只有在浏览器通过 HTTPS 连接时,才会发送 cookie。这有助于防止 cookie 在非安全连接中被拦截或修改。env('SESSION_SECURE_COOKIE',false) 调用 Laravel 的环境变量功能,SESSION_SECURE_COOKIE 是环境变量名称,如果没有设置这个环境变量,则默认值为 false

http_only的说明:

这个设置指定了 cookie 只能通过 HTTP 协议访问,而不能通过 JavaScript 访问。这有助于防止恶意脚本(例如 XSS 攻击)访问和修改 cookie。设置为 true 表示启用这个选项。

正确配置 这两个两参数,要不然可能会出现session cookie设置失败的问题。

laravel操作sessioncookie
huaweichenai的博客
02-09 2254
laravel操作sessioncookie
Laravel 5.5 Session 处理
彳亍
08-30 832
简介 由于 HTTP 协议本身是无状态的,上一个请求与下一个请求无任何关联,为此我们引入 Session 来存储用户请求信息以解决特定场景下无状态导致的问题(比如登录、购物)。 Laravel 通过简洁的 API 统一处理后端各种 Session 驱动,目前开箱支持的流行后端驱动包括 Memcached、Redis 和数据库。 Laravel 并没有使用 PHP 内置的 Session 功能...
laravelSessionCookie
Mr__Ming(QQ:1178889246)的博客
07-03 450
Session::get('key'); // 从会话中读取一个条目Session::get('key', 'default'); Session::get('key', function(){ return 'default'; }); // 获取 session 的 IDSession::getId(); // 增加一个会话键值数据Session::put('key', 'value'); /...
laravel Cookies&Session
w7570061的博客
08-31 945
Cookies解析 但凡 laravel 开发的项目,打开 chrome 浏览器,都可以看到 cookies 中有一个名称为 laravel_sessioncookies 例如 value 为: eyJpdiI6ImtXd2dNTStmbEdheVFLVUFiU29vTUE9PSIsInZhbHVlIjoiZlZDN01wMGRDYzA1QzFpMEFPUGdSWEhFcXBWV3d0NkR4XC8zK0R6UU9cL3ZEdnI4SndvZW1oXC9PcnlVc3o5QXozV2tvWUc0QVd
laravel session
baizhigang1980的博客
01-19 402
众所周知,每一个session都要经历从启用,存取,到最后的删除这样一个过程,在laravel中是如何处理session的呢?在laravel里,没有使用PHP内置的 session功能,而是自己开发了新的Session,并且通过中间件直接帮我们开启了Session,那么它是如何启用的,又是怎么处理生命周期的呢,并且都有哪些可以供我们使用的方法呢,一起探讨一下. laravel Sess...
PHP - Laravel 设置 cookie
卡尔特斯
03-04 2316
一、简介 cookie 常用于识别用户。cookie 是一种服务器留在用户计算机上的小文件。每当同一台计算机通过浏览器请求页面时,这台计算机将会发送 cookie。通过 PHP,能够创建并取回 cookie 的值。 Laravel 框架为了安全,它的 cookie 是加密的。 二、cookie() 属性参数分析 cookie($name, $value, $minutes, $path, $domain, $secure, $httpOnly, $sameSite); 参数 说明
laravel获取不到session的三种解决办法【推荐】
10-18
在使用Laravel框架开发Web应用程序时,处理session是一个常见任务。然而,在某些情况下,开发者可能会遇到获取不到session值的问题。本文将详细介绍解决Laravelsession获取不到问题的三种方法。 首先,我们需要...
关于扩展 Laravel 默认 Session 中间件导致的 Session 写入失效问题分析
10-22
这样的改变涉及到了对Laravel框架默认行为的调整,也即修改默认的Session中间件。 在Laravel框架中,Session中间件通常在`app/Http/Kernel.php`文件中进行注册和配置。开发者可以通过继承原有的Session中间件类,...
Laravel中的Sessionid处理机制详解
10-19
Laravel 的配置文件 `config/session.php` 中,你可以设置 Session Cookie 的名称,默认情况下,Laravel 使用 `laravel_session` 作为 Session Cookie 的名称。在这个例子中,我们将它设置为 `sns_session`。当...
Laravel开发-cookie-csrf
08-27
Laravel框架中,Cookie和CSRF(Cross-Site Request Forgery,跨站请求伪造)是两个关键的安全概念。理解并正确使用它们对于构建安全、可靠的Web应用至关重要。 Cookie是服务器存储在用户浏览器上的小型数据文件,...
cookie的secure属性详解
12-07
今天做项目的时候涉及到了cookie跨域传递的问题,也因此了解了cookie的一个属性——secure。 顾名思义,这个属性就是用来保证cookie安全的。 当secure属性设置为true时,cookie只有在https协议下才能上传到服务器,而在http协议下是没法上传的,所以也不会被窃听。 简单实践一下,chrome浏览器打开https://www.baidu.com和http://www.baidu.com,分别打开控制台(下文称https页面中的控制台为console1,http的成为console2) 1. 先在console1中输入以下代码 [removed] =
PHP - Laravel 设置 cookie,零基础学前端开发
2401_84091580的博客
04-04 1121
前端面试题汇总前端面试题是我面试过程中遇到的面试题,每一次面试后我都会复盘总结。
laravel基础--8.2 sessioncookie
zmlucky的博客
11-07 699
session 获取数据 public function showProfile(Request $request, $id) { $value = $request->session()->get('key'); // } 存储数据 获取到session实例后,就可以调用多个方法来与底层数据进行交互,例如,put方法存储新的数据到session中...
rmi反序列化导致rce漏洞修复_Laravel Cookie Security漏洞分析
weixin_29056145的博客
12-25 418
前言Laravel发布安全更新,其中指出使用cookie session driver的应用受到漏洞影响,该漏洞会导致rce。https://blog.laravel.com/laravel-cookie-security-releases影响版本:Regarding the vulnerability, applications using the "cookie" session d...
Laravel--使用session
热门推荐
Iam8600的博客
11-15 1万+
                                        Laravel--使用session   各位前面是一些基本介绍;我自己写的用法在最底下希望能帮助你们! 简介: 由于HTTP驱动的应用是无状态的,所以我们使用Session来存储用户请求信息。Laravel通过干净、统一的API处理后端各种Session驱动,目前支持的流行后端驱动包括Memcached、Re...
1-21.Laravel框架Session
郝云博客
11-01 610
laravel是一款php框架了,在使用laravel时会碰到session使用问题了,在使用过程中碰到一些问题与一些应用的例子。 用Laravel开发应用,把原有的代码copy过来,以前的代码session使用了$_SESSION,本以为移植过来可以很好的运行的,因为没有依赖其他的组件,结果出现了这个 Undefined variable: _SESSION Laravelsession的...
Laravel5.5 session 的配置及使用示例讲解
u011415782的专栏
03-09 3725
○ 背景 近期正进行 Laravel5.5 框架的学习,当然还是在一点点深入,虽然没有信息研究核心源码,至少要能灵活顺畅的应用,接下来,主要是介绍SessionLaravel5.5 中的应用,欢迎指导建议,必将虚心求知 … 框架Laravel5.5 重点:Session ○ 概述 ⑴. 提示信息 首先,如果在 Laravel 中使用 session 功...
[PHP] - Laravel - 修改laravel_sessioncookie名称
aili2460的博客
06-08 373
修改Cookie laravel_session的名称方法: 打开文件:config\session.php 找到值:laravel_session 修改为你所需要的cookie名称即可。 当然,还有更多的功能在这个文件配置里,这是配置session的。 比如:session的存储在哪(database、memcached、redis、file、c...
[Laravel]Session
CH - L 的博客
11-22 867
// 写入 session(key, value) Session::put('name', 'Johnson'); // 取得 session $value = Session::get('name'); // 取得全部 session $data = Session::all(); // 预设值(当改 key 沒有值时回传预设值) $value = Session::get('key',
Php laravel框架怎么配置https域名访问
最新发布
05-01
<think>好的,用户现在问的是如何在PHP Laravel框架中配置HTTPS域名支持。我需要根据之前的对话和提供的引用内容来回答这个问题。首先,回顾用户之前的提问,他们关心的是如何防止Token被窃取,其中提到了配置HTTPS的重要性,比如在.env中设置SESSION_SECURE_COOKIE=true,还有引用了关于HTTPS配置的代码片段,比如分页器的URL处理。现在用户直接询问如何配置HTTPS域名支持,可能需要详细的步骤指导。 首先,我应该检查用户提供的引用内容,看看有没有相关的配置信息。引用[2]提到了在Laravel中配置HTTPS域名及分页处理,使用了Paginator::currentPathResolver来确保生成的链接使用HTTPS。引用[3]则提到了Nginx的配置,需要创建服务器块并设置SSL证书。引用[4]是关于Composer的安装,可能暂时不相关,但可能在部署过程中需要用到。 接下来,我需要整理配置HTTPS的步骤。通常,配置HTTPS需要服务器层面的设置(如Nginx或Apache)以及应用层面的配置(Laravel本身)。根据引用[3],Nginx的配置需要指定SSL证书和密钥,设置监听443端口,并配置重定向HTTP到HTTPS。同时,在Laravel应用中,需要确保生成的URL使用HTTPS,这可以通过环境变量APP_URL设置为HTTPS,或者使用中间件强制HTTPS。 另外,用户之前的回答中提到了在.env中设置SESSION_SECURE_COOKIE=true,这也是配置HTTPS的一部分,确保Cookie安全连接下传输。此外,引用[2]中的代码展示了如何根据环境变量动态切换分页链接的协议,这可以避免在生成分页链接时出现混合内容的问题。 可能还需要考虑混合内容问题,确保所有资源(如CSS、JS)都通过HTTPS加载。Laravel的asset()函数可以根据配置自动生成HTTPS链接,或者使用secure_asset()函数强制使用HTTPS。 用户可能还会关心如何测试HTTPS配置是否正确,比如使用在线工具检查SSL证书是否有效,或者通过Laravel的日志和调试栏来确认请求是否通过HTTPS处理。 总结下来,回答的结构应该是先服务器配置(Nginx/Apache),然后是Laravel应用配置,包括环境变量、中间件、分页处理,最后是验证和常见问题处理。同时,要引用之前的回答中的相关内容,比如引用[2]和引用[3]中的配置示例,确保用户能够按照步骤操作。</think>在 PHP Laravel 框架中配置 HTTPS 域名支持需从**服务器环境配置**和**应用层配置**两方面实现,以下是具体操作步骤: --- ### 一、服务器环境配置(以 Nginx 为例) 1. **生成 SSL 证书** 使用 Let's Encrypt 或商业证书,通过 Certbot 工具自动生成: ```bash sudo certbot --nginx -d yourdomain.com ``` 2. **Nginx 站点配置** 编辑 Nginx 配置文件(如 `/etc/nginx/sites-available/laravel.conf`): ```nginx server { listen 443 ssl; server_name yourdomain.com; root /var/www/laravel/public; ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem; location / { try_files $uri $uri/ /index.php?$query_string; } location ~ \.php$ { include snippets/fastcgi-php.conf; fastcgi_pass unix:/var/run/php/php8.1-fpm.sock; } } server { listen 80; server_name yourdomain.com; return 301 https://$host$request_uri; # 强制跳转 HTTPS } ``` 通过 `sudo nginx -t` 验证配置后重启服务:`sudo systemctl reload nginx`[^3]。 --- ### 二、Laravel 应用层配置 1. **修改 `.env` 环境变量** 设置 HTTPS 协议和域名: ```env APP_URL=https://yourdomain.com APP_ENV=production SESSION_SECURE_COOKIE=true ``` 2. **强制 HTTPS 中间件** 创建中间件 `app/Http/Middleware/ForceHttps.php`: ```php public function handle($request, Closure $next) { if (!$request->secure() && app()->environment('production')) { return redirect()->secure($request->getRequestUri()); } return $next($request); } ``` 注册到 `Kernel.php` 的全局中间件组: ```php protected $middleware = [ \App\Http\Middleware\ForceHttps::class, ]; ``` 3. **分页链接 HTTPS 适配** 在 `AppServiceProvider` 中动态处理分页 URL(参考用户提供的代码[^2]): ```php use Illuminate\Pagination\Paginator; public function boot() { if (env('APP_HTTPS')) { Paginator::currentPathResolver(function () { return str_replace('http://', 'https://', $this->app['request']->url()); }); } } ``` --- ### 三、验证与调试 1. **检查混合内容** 使用浏览器开发者工具查看是否有非 HTTPS 资源(如图片、JS/CSS),修复方法: - 使用 `asset()` 函数生成资源链接时自动适配 HTTPS - 或强制使用 `secure_asset('path/to/file.css')` 2. **测试 API 接口** 使用 Postman 发送 HTTPS 请求,检查响应头中是否包含 `Strict-Transport-Security` 等安全头。 --- ### 四、常见问题 1. **Session/Cookie 失效** 确保 `.env` 中 `SESSION_DOMAIN` 正确配置,例如: ```env SESSION_DOMAIN=.yourdomain.com # 支持子域名共享 Cookie ``` 2. **CSRF Token 不匹配** HTTPS 环境下需同步更新 CSRF Token 生成逻辑,确保表单提交时协议一致[^1]。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

poweredbytian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值