Laravel中的CSRF

最新推荐文章于 2023-03-22 23:05:01 发布
最新推荐文章于 2023-03-22 23:05:01 发布
阅读量177 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php 测试
原文链接:https://segmentfault.com/a/1190000010186265
本文介绍了Laravel框架中如何通过生成唯一token并进行验证来防止跨站点请求伪造(CSRF)攻击,确保用户数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {

    $this->put('_token', Str::random(40));

    }

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
    {

    if (
    $this->isReading($request) ||
    $this->runningUnitTests() ||
    $this->inExceptArray($request) ||
    $this->tokensMatch($request)
) {
    return $this->addCookieToResponse($request, $next($request));
}

throw new TokenMismatchException;

    }

- `$this->isReading()`判断请求是否是`['HEAD', 'GET', 'OPTIONS']`这三种请求。
- `$this->runningUnitTests()`判断程序是否正在进行单元测试。
- `$this->inExceptArray()`判断请求是否需要进行Crsf验证。
- `$this->tokensMatch()`进行token验证。

        protected function tokensMatch($request)
        {
            // 获取请求url中的token
            $token = $this->getTokenFromRequest($request);
    
            return is_string($request->session()->token()) &&
                   is_string($token) &&
                   hash_equals($request->session()->token(), $token);
        }

        protected function getTokenFromRequest($request)
        {
            $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
    
            if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
                $token = $this->encrypter->decrypt($header);
            }
    
            return $token;
        }

  1. 验证通过后将csrf token加入响应包的cookie里,然后通过验证将请求通过next递交给下一个处理件。

    protected function addCookieToResponse($request, $response)
    {

    $config = config('session');

$response->headers->setCookie(
    new Cookie(
        'XSRF-TOKEN', $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config['lifetime'],
        $config['path'], $config['domain'], $config['secure'], false
    )
);

return $response;

    }

Angular与LaravelCSRF问题探讨与解决
m0_74337424的博客
03-24 275
假设我们有一个使用Angular开发的前端项目,以及一个使用Laravel和Sanctum作为身份验证后端的服务。我们在开发过程中遇到了一个问题:每次尝试登录时,总是收到419状态码的响应,提示CSRF token mismatch。通过这个案例,我们不仅学习了如何在Angular与Laravel之间处理CSRF问题,还理解了跨域请求和安全设置的重要性。无论是前端还是后端,安全配置都是开发过程中不可或缺的一环。希望这个博客能帮助你更好地理解和解决类似的开发问题。
Laravel 源码分析---Pineline
math_chao的博客
05-12 1229
laravel 框架中,Illuminate\Pipeline\Pipeline 类是实现 laravel 中间件功能的重要工具之一。他的作用是,将一系列有序可执行的任务依次执行。也有人把这种功能成为管道模式,比如下面这篇文章的介绍: Laravel 中管道设计模式的使用 —— 中间件实现原理探究 今天我们就来探究一下 Pipeline 类的功能和源码。 Pipeline 的使用 Pi...
laravel源码分析
weixin_43762261的博客
03-22 1460
make方法从容器中解析指定的值为实际的类,比如$app>make(Illuminate\\Contracts\\Http\\Kernel::class) 解析 App\\Http\\Kernel::class-> handle方法对http请求进行处理 实际上是handle中的sendRequestThroughRouter处理的http请求 首先,将request绑定到共享实例 ,执行$this->bootstrap()方法,运行给定的引导类数组$bootstrappers,这里很关键,包括了加载配置文
Laravel 源码分析---Application 对 ServiceProvider 的管理与使用
math_chao的博客
05-09 667
Laravel 框架中 ServiceProvider 的实例化、注册、启动、延迟加载等管理功能都是由框架的核心类 Application 来完成的。Application 是框架最核心的类,管理整个框架的启动、运行以及整个生命周期,并通过 ServiceProvider 将其他功能的模块载入框架。Application 是 Container 类的子类,所以也管理者框架中其他类的实例化、存储等功...
Laravel 源码分析---Container
math_chao的博客
05-07 1839
Container 简介 Container 是 laravel 框架的核心之一,laravel 框架中类的实例化、存储和管理都是由 Container 来负责的。laravel 里面的 Container 本质上是一个 IOC (Inversion of Control/控制反转) 容器,是用来实现依赖注入(DI/Dependency Injection)的。也有人把这种设计成为服务定位模式。...
Laravel8-CSRF攻击
weixin_59633478的博客
03-26 1560
文章目录一、CSRF是什么?二、使用步骤1.引入库2.读入数据总结 一、CSRF是什么? 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。也就是说他可以凭借你已经通过身份验证的用户的一个身份来运行一个未经授权的命令,也就是说在我们知道你的网站有这么一个post提交地址,例如post提交地址
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其中...当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel中生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
laravel免除csrf验证
xiaonanhaijing的博客
03-20 318
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware { /** * The URIs that should be excluded from CSRF verification. * * @var array
laravel5源码分析
03-19
laravel5源码详细分析,包括ORM、容器、队列等源码详解
laravel源码详解
07-21
本项目针对 laravel 5.4 各个重要模块的源码进行了较为详尽的分析,希望给 想要了解 laravel 底层原理与源码的同学一些指引。
Laravel Database——Eloquent Model 源码分析(下)
cangqiong_xiamen的博客
08-11 326
获取模型 get 函数 public function get($columns = ['*']) { $builder = $this->applyScopes(); if (count($models = $builder->getModels($columns)) > 0) { $models = $builder->eagerLoadRelations($models); } return $builder->getM
Laravel 源码分析---概述与目录
math_chao的博客
05-23 783
laravel 自诞生以来,以其优雅简洁的语法、强大的功能得到了越来越多人的喜爱,也成为了目前最流行的PHP框架。 The PHP Framework For Web Artisans 声称专门为 Web 艺术家而开发的 laravel 框架,确实以非常优雅的方式实现了非常强大的功能,为 Web 开发提供了非常多的便利。并且 laravel 框架的基础上开发第三方没款并整合到 lar...
Laravel 源码解读
热门推荐
Mreden的博客
07-06 1万+
本文转载于:http://yuez.me/laravel-yuan-ma-jie-du/?utm_source=tuicool&utm_medium=referral Laravel 源码解读 为WEB艺术家创造的框架 由SitePoint发起的2015年最流行WEB框架的调查中,Laravel已巨大的优势获得了商用使用 数量、个人项目使用数量
laravel源码分析-队列Queue
Max一直在学习
01-07 689
laravel 源码分析具体注释见 https://github.com/FX-Max/source-analysis-laravel 前言 队列 (Queue) 是 laravel 中比较常用的一个功能,队列的目的是将耗时的任务延时处理,比如发送邮件,从而大幅度缩短 Web 请求和响应的时间。本文我们就来分析下队列创建和执行的源码。 队列任务的创建 先通过命令创建一个 Job 类,成功之后会创建如下文件 laravel-src/laravel/app/Jobs/DemoJob.php。 > ph.
Laravel Database——Eloquent Model 源码分析(上)
cangqiong_xiamen的博客
08-10 570
前面几个博客向大家介绍了查询构造器的原理与源码,然而查询构造器更多是为 Eloquent Model 服务的,我们对数据库操作更加方便的是使用 Eloquent Model。 本篇文章将会大家介绍 Model 的一些特性原理。 Eloquent Model 修改器 当我们在 Eloquent 模型实例中设置某些属性值的时候,修改器允许对 Eloquent 属性值进行格式化。如果对修改器不熟悉,请参考官方文档:Eloquent: 修改器 下面先看看修改器的原理: public function offsetS
Laravel源码分析——一次Http请求到响应
hisense20112784的博客
08-22 1713
1前言 在FastCGI协议下工作的php-fpm, 使用持续的进程来处理一连串的请求, 具体到某个请求的解析流程的时候, 如果不考虑扩展的方式, 基本上都是顺序的解析处理. 所以就算复杂如Laravel框架, 他也是一个顺序的加载解析过程. 本地打断点可以完整的走一遍框架的加载逻辑. 但是你可能并不一定十分理解为什么框架要这么做? 或者他这一步究竟是干嘛的? 本文就尽可能的提取L
Laravel 框架源码分析笔记
fendouweiqian的博客
07-31 426
实现command错误信息提示 原理解析: 源码文件: [console\Appliaction] 中 $allCommands 存储了命令别名, 然后匹配控制台传入的命令, 存在相同的字眼则提示信息
Laravel关闭CSRF的验证
最新发布
03-15
### 如何在 Laravel 中禁用 CSRF 验证 在 Laravel 框架中,可以通过修改 `App\Http\Middleware\VerifyCsrfToken` 文件来实现全局禁用或针对特定 URI 跳过 CSRF 验证。 #### 方法一:完全禁用 CSRF 验证 如果需要彻底禁用 CSRF 验证功能,则可以在中间件文件中重写父类方法并直接返回 `$next($request)` 的响应。以下是具体代码示例: ```php <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 完全禁用 CSRF 验证 return $next($request); } } ``` 这种方法会使得整个应用不再执行任何 CSRF 验证逻辑[^1]。 #### 方法二:排除指定路由的 CSRF 验证 对于某些特殊场景下的 API 接口或者第三方服务调用,可能只需要让部分 URL 不受 CSRF 保护约束而其他地方仍然保持安全机制有效。此时可以利用 `$except` 属性定义例外列表如下所示: ```php <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'api/v1/screen', 'api/v1/notice', ]; } ``` 上述配置表示 `/api/v1/screen` 和 `/api/v1/notice` 这两个路径不会触发 CSRF 校验过程[^2]。 需要注意的是,在生产环境中不建议无差别地移除所有页面上的跨站点请求伪造防护措施;相反应当谨慎评估哪些操作确实不需要此层额外保障再做相应调整。 另外关于 Blade 模板引擎方面提到的内容主要是用于表单提交时展示字段关联错误提示信息,并未涉及关闭csrf令牌验证相关内容[^4]。 最后提及到有关 Factory 工厂模式的部分也与当前讨论主题无关[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值