Laravel 5.8 :基础组件 —— CSRF 保护

最新推荐文章于 2024-09-24 18:21:10 发布
最新推荐文章于 2024-09-24 18:21:10 发布
阅读量1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: laravel
本文为博主原创文章,未经博主允许不得转载。交流联系QQ:634487911
本文链接:https://blog.youkuaiyun.com/qq_38191191/article/details/90636624
本文介绍了Laravel 5.8中的CSRF保护机制,阐述了CSRF攻击的概念,并展示了如何在框架中获取和使用CSRF token。同时,讲解了关闭特定路由的CSRF验证方法,以及在表单中使用表单方法伪造的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、什么是CSRF攻击

可以理解为两个域名之间不能跨过域名来发送请求或者请求数据,否则就是不安全的,这种不安全也就是CSRF(Cross-site request forgery),中文名称:跨站请求伪造。

laravel 框架中为避免CSRF攻击,为每个 用户session生成一个CSRF token,该token用于验证登录用户和发起请求用户是否为同一个人。

laravel提供了一个全局函数csrf_token来获取该token值,因此只需在视图提交表单中添加如下代码即可在请求中带上token

<input type="hidden" name="token" value="<?php echo csrf_token()?>">
laravel中csrf验证机制默认是开启的。

csrf_token()的简化方法:{{csrf_field()}}  等价于上面一行代码。csrf_token()输出一个token值,而csrf_field输出了一整个input隐藏域。开发时这两个方法可以根据自己选择,但是在异步提交表单时必须使用csrf_token().

2、关闭csrf验证的方法:

并不是所有路由都需要避免csrf攻击,比如去第三方API获取数据的请求。

可以通过在verifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中将要排除的请求URL添加到$except属性数组中,例

排除部分路由的验证

protected $except=[
    //该出添加需要排除csrf验证的路由
    'home/test/test2',
    'home/test/test3'
];

排除所有路由的验证

protected $except=[
    '*'
];

任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段,可以使用 Blade 指令 @csrf

<form method="POST" action="/profile">
    @csrf
    ...
</form>

表单方法伪造

HTML 表单不支持 PUTPATCH 或者 DELETE 请求方法,因此,在 HTML 表单中调用 PUTPATCH 或 DELETE 路由时,需要添加一个隐藏的 _method 字段,其值被用作该表单的 HTTP 请求方法:

<form action="/foo/bar" method="POST">
    <input type="hidden" name="_method" value="PUT">
    <input type="hidden" name="_token" value="{{ csrf_token() }}">
</form>

还可以直接使用 Blade 指令 @method 来生成 _method 字段:

<form action="/foo/bar" method="POST">
    @method('PUT')
    @csrf
</form>

 

PHP - Laravel CSRF保护你的应用免受跨站请求伪造
YxmtAi的博客
09-19 427
当用户第一次访问应用程序时,Laravel 会为该用户生成一个唯一的 CSRF 令牌,并将其存储在用户会话中。为了保护你的 Laravel 应用程序免受 CSRF 攻击,Laravel 提供了内置的 CSRF 保护机制。要在 Laravel 中使用 CSRF 保护,首先需要确保在所有的 POST、PUT、PATCH 和 DELETE 请求中包含正确的 CSRF 令牌。保护你的应用程序免受 CSRF 攻击是一项重要的安全措施,而 LaravelCSRF 保护机制为你提供了简单而有效的解决方案。
Laravel框架学习(CSRF
野蛮秘籍
03-09 9192
CSRF攻击原理及其防护1、CSRF攻击是what? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。2、Laravel中如何避免CSRF攻击 Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。Laravel提供了一个全局帮助函数csr
Laravel表单的_token验证、@csrf、简单留言板
qq_46179813的博客
05-19 1124
1、表单_token的验证 <input type="hidden" name="_token" value="<?php echo csrf_token();?>"> 2、back()回退上一页面 3、更新迁移文件 C:\wamp64\www\weibo>php artisan migrate Nothing to migrate. C:\wamp64\www\weibo>php artisan migrate:rollback Rolling back: 2020
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 754
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
Laravel中的CSRF
weixin_34124939的博客
07-14 177
跨站点请求伪造CSRF攻击 攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。 LaravelCSRF处理 在开启session时为每个session分配一个token public function regenerateToken() { $this->put('_token',...
laravel5.8+Vue+ Element +axios环境搭建
qq_26282869的博客
05-10 1583
下载安装laravel composer create-project --prefer-dist laravel/laravel laravel-element "5.8.*" 在环境搭建的前提是已经在本地搭建好了laravel框架,并且安装npm. 1.安装前端依赖库 npm install 2.添加laravel路由 修改 routes/web.php 文件为 Route::get('/', function () { return view('index'); }); 3.新建 H
Laravel 5.8 广播 Laravel-echo
最新发布
qq_32550561的博客
09-24 850
laravel5.8 广播 接收信息
laravel8:示范资料库
03-15
12. **API 与认证**:Laravel 提供了 JWT(JSON Web Tokens)和 OAuth2 的支持,方便构建RESTful API,并且有内置的认证系统,可以快速实现用户登录注册功能。 13. **错误处理与日志**:Laravel 提供了优雅的错误...
Laravel与Layer整合:图片上传遭遇500错误——CSRF解决
作者在项目中尝试使用Ajax进行图片上传时,由于对Laravel的深入理解不足,忽视了CSRF保护机制。 首先,问题出在Laravel的默认安全设置上,它会在表单提交时检查一个名为`_token`的隐藏字段,这是为了防止恶意请求...
laravel CSRF攻击
qq_45844648的博客
04-13 262
CSRF是跨站请求伪造, laravel框架中避免CSRF攻击:laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。 ...
Laravel CSRF
紫罗兰的博客
08-27 300
CSRF 跨站请求伪造(Cross-site request forgery)
三、基础组件 —— CSRF 保护
weixin_30298497的博客
07-28 160
简介 跨站请求伪造(CSRF)是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。 Laravel 通过自带的 CSRF 保护中间件让避免应用遭到跨站请求伪造攻击变得简单:Laravel 会自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,然后将该令牌存放在 Session 中,该令牌用于验证授权用户和发起请求者是否是同一个人。 任何时候在 ...
Laravel - CSRF - 学习/实践
"代码"的日常搬运
08-12 2757
了解Laravel csrf的使用以及工作原理,以及更多的web攻击方式以及相应的防护措施。
LaravelCSRF攻击
瑾的日常
08-01 435
1、什么是CSRF 攻击? CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token: <inpu
laravel】@7 CSRF保护
咔咔博客
05-15 574
author:咔咔 wechat:fangkangfk 在之前做路由的时候把这个关闭了,现在需要打开 在控制器配置俩个方法,一个显示模板,一个表单提交 创建模板文件 发现提交之后,现实的是419 这个时候在到模板里边加上@csrf 加上@csrf后可以正常的发起post请求 我们可以看看源码,VerifyCsrfToken这...
csrf保护php,CSRF保护 | 基础组件 | Laravel 5.4 中文文档
weixin_35517006的博客
04-01 233
CSRF保护由 学院君 创建于4年前, 最后更新于 1年前版本号 #230001 views13 likes0 collects1、简介跨站请求伪造(CSRF)是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 让应用避免遭到跨站请求伪造攻击变得简单。Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人...
Laravel CSRF保护
Stussy_Cn
04-24 460
Laravel CSRF保护
Laravel 5.5 CSRF
qq_37910492的博客
11-26 427
CSRF // CSRF(跨站请求伪造)是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。 {{ csrf_field() }} &lt;input type="hidden" name="_token" value="{{ csrf_token() }}"&gt; {{ method_field('PUT') }} &lt;input type="hidden" name="_
laravel CSRF token使用方法
xiaoluyouyue的博客
12-08 1009
Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法: 方法一 打开文件:app\Http\Kernel.php 把这行注释掉: 'App\Http\Middleware\VerifyCsrfToken'   方法二 打开文件:app\Http\Middleware\VerifyCsrfToken.php 修改为:   &lt;?php namesp...
Laravel开发技巧:自定义cookie-csrf防止表单重复提交
### Laravel开发与Cookie CSRF防护 在Web开发中,跨站请求伪造(CSRF)攻击是一种常见的安全威胁。攻击者可能会诱骗用户点击恶意链接或访问带有恶意脚本的网站,导致用户在不知情的情况下发送请求到Web应用。这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值