laravel中关闭CSRF的方法

最新推荐文章于 2024-12-14 18:24:01 发布
转载 最新推荐文章于 2024-12-14 18:24:01 发布 · 1.2k 阅读 · 0

本文介绍了解决CSRF防攻击导致的错误的方法,包括如何在Laravel框架中完全禁用或部分配置CSRF保护,以及如何修改CSRF cookie名称。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在框架中一般情况下报这种错误的都是csrf防攻击未关闭


那么我们可以关闭这种csrf有以下两种方法:

第一种

打开文件路径:app\Http\Kernel.PHP

找到这行代码并注释掉:

'App\Http\Middleware\VerifyCsrfToken'
 

第二种

打开文件路径:app\Http\Middleware\VerifyCsrfToken.php

修改为:可开启和关闭

代码如下:

<?php

namespace App\Http\Middleware;
use Closure;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    public function handle($request, Closure $next)
    {
        // 使用CSRF
        // return parent::handle($request, $next);
        // 禁用CSRF
        return $next($request);
    }
    // protected $except = [
    //     //
    // ];
}

 

CSRF的使用也有两种方法:

方法一:

在页面HTML的代码中加入:


<input type="hidden" name="_token" value="{{ csrf_token() }}" />


方法二:

使用cookie方式的CSRF,可以不用在每个页面都加入input标签。

把app\Http\Middleware\VerifyCsrfToken.php修改为:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return parent::addCookieToResponse($request, $next($request));
    }

}

 我们在这个路径下也可以对指定的表单提交方式使用CSRF

代码如下:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // Add this:
        if($request->method() == 'POST')
        {
            return $next($request);
        }
        
        if ($request->method() == 'GET' || $this->tokensMatch($request))
        {
            return $next($request);
        }
        throw new TokenMismatchException;
    }

}

我们在方法二中只能对GET的方式提交使用CSRF,

对POST方式提交表单是需要禁用CSRF的;

 

 

修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,

重写addCookieToResponse(...)方法做到。


进入手册中查看的session和csrf解释:https://laravel-china.org/docs/5.1/routing#route-groups

Laravel 框架指定路由关闭 csrf
阿远:
05-26 2221
修改 app\Http\Middleware\VerifyCsrfToken.php 内容: <?php namespace App\Http\Middleware;use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;class VerifyCsrfToken extends B
laravel 实现关闭CSRF(全部关闭、部分关闭)
01-03
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭csrf验证,但这就全部关闭了。 部分关闭 当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel中生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
laravel关闭CSRF(全部关闭、部分关闭
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8322
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭csrf验证,但这就全部关闭了。 ...
laravel关闭csrf验证
L_s_c_h的博客
01-16 928
Laravel默认是开启了CSRF功能,有时可能不能传递验证token,就需要关闭。本教程操作环境:windows11系统、Laravel5.1版,打开文件:app\\Http\\Kernel.php。laravel怎么关闭csrf验证?
laravel5.8(七)关闭csrf验证
camellia的博客
11-06 430
Csrf验证这个我之前在使用Yii2框架中见到过。 这个破玩意,请求必须得带上验证的字符串,半小时页面没有活动,必须重新刷新页面才能重新发起ajax请求。有点麻烦。 当然,框架中使用这个自然是有他的好处。 防止csrf攻击嘛。 我在测试过程中,目前先关闭csrf验证。 打开当前项目目录下的app/Http/Kernel.php 搜索csrf 如果没有问题的话,在这里只能搜索到一个结果。大概在38行左右。 将当前这行代码注释掉就可以了。 如下所示: 这样,访问便不需要添加csrf验证也可以了。 当前后端分离
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel框架中表单请求类型和CSRF防护实例分析
12-20
Laravel框架中,表单请求类型和CSRF(跨站请求伪造)防护是Web应用开发中的关键概念,确保了应用程序的安全性和用户交互的正确性。以下是对这些知识点的详细说明: 1. **表单请求类型**: Laravel提供了一组便捷...
laravel csrf排除路由,禁止,关闭指定路由的例子
10-16
总的来说,在Laravel框架中,通过中间件VerifyCsrfToken.php中的$except属性来排除特定路由的CSRF验证是一种快速且有效的方法。但开发者在实施时应该仔细评估安全性问题,确保不会因为方便而牺牲了应用的安全性。
Laravel关闭CSRF验证
草根上的须子
06-02 366
Laravel5.2之后加入了CSRF验证 在app/Http/Kernel.php文件中有如下配置: 在这里插入图片描述 全局关闭 // \App\Http\Middleware\VerifyCsrfToken::class 1 局部关闭 打开VerifyCsrfToken类文件,找到以下: 在这里插入图片描述 假设你的路由是/login, 只需在此写入路由地址,即可跳过CSRF验证 如下我想要api开头的路由都不做csrf验证,只需要添加 ‘api/*’ 就行了。 ————————...
Laravel 5禁用csrf_token
红壶吃猬队的博客
03-12 660
在app\Http\Kernel.php中,将“App\Http\Middleware\VerifyCsrfToken”一行注释掉; 在App\Http\Middleware\VerifyCsrfToken.php中,将“return parent::handle($request, $next);”一行改为“return $next($request);”; (5.1及以上版本用)在App\H...
laravel csrf排除路由,禁止,关闭指定路由
jimgethelp的博客
09-09 5030
百度了下,发现别的教程里需要更改文件,实际上很简单,官方提供了接口可以用来设置; laravelcsrf防范是通过app/http/Middleware目录下的中间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用做csrf验证; <?php namespace App\Http\Middleware; us
SpringSecurity关闭csrf防护
liubopro666的博客
10-23 1354
CSRF防护CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护
Jenkins Windows关闭跨站请求伪造保护(CSRF
丿灬安之若死
03-18 1253
添加后启动jenkins服务 并且访问/restart路径重启 jenkins。我们找到了这个jenkins路径 进入路径修改jenkins.xml文件。修改里面arguments添加这内容。成功后这里就是这样的显示。
PHP - Laravel CSRF 介绍与用法(及取消 CSRF 验证)
卡尔特斯
02-24 1381
一、什么是 CSRF? `CSRF (Cross-site request forgery)`, 中文名称:`跨站请求伪造`。 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。 由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。 ![](https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/b463eb88792d4b0a96
laravel10.3 框架 报 “CSRF token mismatch“的问题解决
hello PHP的博客
12-14 517
开始的时候.env配置文件中的SESSION_DRIVER=array,测试了不论是form表单直接发送post请求,还是用Ajax方式发送post请求,无论那种都报 419 CSRF token mismatch的错误,只需要将SESSION_DRIVER=array修改为SESSION_DRIVER=file即可!排查了好久这个问题,才找到问题所在;之前一直报419错误: CSRF token mismatch。
SpringSecurity6只关闭部分请求CSRF保护的方法
lfl_jeetoon的博客
07-26 621
作者在进行新版的Springboot3.2.5+SpringSecurity6的整合过程中,需要对Jwt的功能进行测试。根据网上的建议,采用token方式进行鉴权的项目,就不要对请求采取csrf保护了。以上写法仅对Springboot3.2.5+SpringSecurity6这个版本有效,其它的版本没测,请读者注意。先说这个做法起不到关闭部分请求保护的作用,而是直接全部关闭CSRF保护。以下写法是新版本的正确写法,也不知道老外为什么那么喜欢折腾,往往有些功能没有什么本质上的变化,只是写法各有千秋。
Spring Security 中的 CSRF和CORS
qq_29860591的博客
08-14 1305
Spring Security 中的 CSRF和CORS 使用 Spring Security 提供 CSRF 保护 什么是 CSRF? 从安全的角度来讲,你可以将 CSRF 理解为一种攻击手段,即攻击者盗用了你的身份,然后以你的名义向第三方网站发送恶意请求。我们可以使用如下所示的流程图来描述 CSRF: 具体流程如下: 用户浏览并登录信任的网站 A,通过用户认证后,会在浏览器中生成针对 ...
Laravel关闭CSRF的验证
最新发布
03-15
### 如何在 Laravel 中禁用 CSRF 验证 在 Laravel 框架中,可以通过修改 `App\Http\Middleware\VerifyCsrfToken` 文件来实现全局禁用或针对特定 URI 跳过 CSRF 验证。 #### 方法一:完全禁用 CSRF 验证 如果需要彻底禁用 CSRF 验证功能,则可以在中间件文件中重写父类方法并直接返回 `$next($request)` 的响应。以下是具体代码示例: ```php <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 完全禁用 CSRF 验证 return $next($request); } } ``` 这种方法会使得整个应用不再执行任何 CSRF 验证逻辑[^1]。 #### 方法二:排除指定路由的 CSRF 验证 对于某些特殊场景下的 API 接口或者第三方服务调用,可能只需要让部分 URL 不受 CSRF 保护约束而其他地方仍然保持安全机制有效。此时可以利用 `$except` 属性定义例外列表如下所示: ```php <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'api/v1/screen', 'api/v1/notice', ]; } ``` 上述配置表示 `/api/v1/screen` 和 `/api/v1/notice` 这两个路径不会触发 CSRF 校验过程[^2]。 需要注意的是,在生产环境中不建议无差别地移除所有页面上的跨站点请求伪造防护措施;相反应当谨慎评估哪些操作确实不需要此层额外保障再做相应调整。 另外关于 Blade 模板引擎方面提到的内容主要是用于表单提交时展示字段关联错误提示信息,并未涉及关闭csrf令牌验证相关内容[^4]。 最后提及到有关 Factory 工厂模式的部分也与当前讨论主题无关[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值