Laravel中的CSRF

本文介绍了Laravel框架中如何通过生成唯一token并进行验证来防止跨站点请求伪造(CSRF)攻击,确保用户数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {

    $this->put('_token', Str::random(40));

    }

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
    {

    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return $this->addCookieToResponse($request, $next($request));
    }
    
    throw new TokenMismatchException;

    }

- `$this->isReading()`判断请求是否是`['HEAD', 'GET', 'OPTIONS']`这三种请求。
- `$this->runningUnitTests()`判断程序是否正在进行单元测试。
- `$this->inExceptArray()`判断请求是否需要进行Crsf验证。
- `$this->tokensMatch()`进行token验证。

        protected function tokensMatch($request)
        {
            // 获取请求url中的token
            $token = $this->getTokenFromRequest($request);
    
            return is_string($request->session()->token()) &&
                   is_string($token) &&
                   hash_equals($request->session()->token(), $token);
        }

        protected function getTokenFromRequest($request)
        {
            $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
    
            if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
                $token = $this->encrypter->decrypt($header);
            }
    
            return $token;
        }
  1. 验证通过后将csrf token加入响应包的cookie里,然后通过验证将请求通过next递交给下一个处理件。

    protected function addCookieToResponse($request, $response)
    {

    $config = config('session');
    
    $response->headers->setCookie(
        new Cookie(
            'XSRF-TOKEN', $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config['lifetime'],
            $config['path'], $config['domain'], $config['secure'], false
        )
    );
    
    return $response;

    }

### 如何在 Laravel 中禁用 CSRF 验证 在 Laravel 框架中,可以通过修改 `App\Http\Middleware\VerifyCsrfToken` 文件来实现全局禁用或针对特定 URI 跳过 CSRF 验证。 #### 方法一:完全禁用 CSRF 验证 如果需要彻底禁用 CSRF 验证功能,则可以在中间件文件中重写父类方法并直接返回 `$next($request)` 的响应。以下是具体代码示例: ```php <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 完全禁用 CSRF 验证 return $next($request); } } ``` 这种方法会使得整个应用不再执行任何 CSRF 验证逻辑[^1]。 #### 方法二:排除指定路由的 CSRF 验证 对于某些特殊场景下的 API 接口或者第三方服务调用,可能只需要让部分 URL 不受 CSRF 保护约束而其他地方仍然保持安全机制有效。此时可以利用 `$except` 属性定义例外列表如下所示: ```php <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'api/v1/screen', 'api/v1/notice', ]; } ``` 上述配置表示 `/api/v1/screen` 和 `/api/v1/notice` 这两个路径不会触发 CSRF 校验过程[^2]。 需要注意的是,在生产环境中不建议无差别地移除所有页面上的跨站点请求伪造防护措施;相反应当谨慎评估哪些操作确实不需要此层额外保障再做相应调整。 另外关于 Blade 模板引擎方面提到的内容主要是用于表单提交时展示字段关联错误提示信息,并未涉及关闭csrf令牌验证相关内容[^4]。 最后提及到有关 Factory 工厂模式的部分也与当前讨论主题无关[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值