So verwenden Sie Middleware für den Cross-Site Request Forgery (CSRF)-Schutz in Laravel

In modernen Webanwendungen sind Cross-Site-Request-Forgery-Angriffe (CSRF) zu einer gängigen Angriffsmethode geworden. Laravel ist ein beliebtes PHP-Framework mit integriertem CSRF-Schutzmechanismus. Es kann sehr praktisch sein, CSRF hinzuzufügen Schutz für die Anwendung.

In diesem Artikel wird die Verwendung von Middleware für den CSRF-Schutz in Laravel vorgestellt und spezifische Codebeispiele bereitgestellt.

Was ist ein Cross-Site Request Forgery (CSRF)-Angriff?

Cross-Site Request Forgery-Angriff, auf Englisch auch als Cross-Site Request Forgery oder kurz CSRF bekannt, ist eine Angriffsmethode, die böswillige Anfragen durch Fälschung von Benutzeridentitäten initiiert.

Angreifer implementieren CSRF-Angriffe normalerweise, indem sie Benutzer dazu verleiten, auf Seiten mit bösartigen Links zu klicken oder bösartige Skripte in Websites einzufügen, auf denen sich das Opfer angemeldet hat. Wenn das Opfer angemeldet ist, initiiert der Angreifer eine Reihe böswilliger Anfragen (z. B. das Ändern von Passwörtern, das Versenden von Nachrichten usw.). Diese Anfragen scheinen für das Opfer legitim zu sein, tatsächlich werden diese Anfragen jedoch vom Angreifer initiiert wird dem Opfer einen gewissen Schaden zufügen.

Wie verwende ich Middleware für den CSRF-Schutz in Laravel?

Laravel bietet uns einen sehr praktischen Mechanismus zum Schutz von Anwendungen vor CSRF-Angriffen. Das Laravel-Framework verfügt über einen integrierten CSRF-Schutzmechanismus, der über Middleware implementiert werden kann.

In Laravel verwenden wir CSRF-Middleware, um zu überprüfen, ob das CSRF-Token bei POST-, PUT- und DELETE-Anfragen gültig ist. Standardmäßig fügt Laravel Ihrer Anwendung die Middleware VerifyCsrfToken hinzu und prüft automatisch, ob das CSRF-Token für diese Anfragen gültig ist. VerifyCsrfToken中间件，并自动检查这些请求的CSRF令牌是否有效。

如果CSRF令牌无效，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。我们也可以根据自己的需求自定义错误处理方式。

配置CSRF令牌

Laravel会在每个用户会话中为应用生成一个CSRF令牌，我们可以在应用config/csrf.php的配置文件中调整CSRF令牌的配置。该配置文件允许您配置CSRF COOKIE和CSRF令牌在请求中的名称。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中间件

Laravel中的VerifyCsrfToken中间件将检查在路由中定义的任何POST、PUT或DELETE请求上的CSRF令牌是否有效。默认情况下，应用的routes/web.php文件除了web中间件外，还会使用VerifyCsrfToken中间件。

可以在中间件组中添加CSRF中间件，以便在应用中的其他路由中使用。为了使用中间件保护路由，我们可以使用middleware方法将其添加到路由定义中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自定义CSRF错误处理

默认情况下，如果使用VerifyCsrfToken中间件检测到CSRF令牌不正确，Laravel将抛出一个TokenMismatchException异常，并提供一个默认的错误视图。

我们可以在app/Exceptions/Handler.php文件中尝试捕获CSRF异常并指定我们自己的错误处理方式。下面是一个自定义CSRF异常处理程序的示例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 处理CSRF异常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的代码中，我们捕获了TokenMismatchException异常，并使用with方法将错误消息保存到error闪存数据中。稍后，我们可以在视图中使用with方法访问这个闪存数据。

最后，我们可以在视图中为任何需要提交POST、PUT或DELETE请求的表单添加CSRF令牌字段。使用csrf_field方法即可在表单中生成CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

总结

在本文中，我们介绍了如何在Laravel中使用中间件保护应用免受CSRF攻击。我们通过配置CSRF令牌、使用默认的VerifyCsrfToken

Wenn das CSRF-Token ungültig ist, löst Laravel eine TokenMismatchException-Ausnahme aus und stellt eine Standardfehleransicht bereit. Wir können die Fehlerbehandlung auch an unsere eigenen Bedürfnisse anpassen. 🎜

CSRF-Token konfigurieren

🎜Laravel generiert in jeder Benutzersitzung ein CSRF-Token für die Anwendung, das wir in der Konfigurationsdatei der Anwendung config/csrf.php anpassen können des CSRF-Tokens. Mit dieser Konfigurationsdatei können Sie das CSRF-COOKIE und den Namen des CSRF-Tokens in der Anfrage konfigurieren. 🎜rrreee

Verwendung der CSRF-Middleware

🎜Die VerifyCsrfToken-Middleware in Laravel prüft, ob das CSRF-Token für jede in der Route definierte POST-, PUT- oder DELETE-Anfrage gültig ist. Standardmäßig verwendet die Datei routes/web.php der Anwendung zusätzlich zur Middleware web auch die Middleware VerifyCsrfToken. 🎜🎜 CSRF-Middleware kann zur Middleware-Gruppe hinzugefügt werden, um sie auf anderen Routen in der Anwendung zu verwenden. Um eine Route mit Middleware zu schützen, können wir sie mit der Methode middleware wie folgt zur Routendefinition hinzufügen: 🎜rrreee

Benutzerdefinierte CSRF-Fehlerbehandlung

🎜Standardmäßig gilt: Wenn ein Wenn mit der Middleware VerifyCsrfToken ein falsches CSRF-Token erkannt wird, löst Laravel eine TokenMismatchException-Ausnahme aus und stellt eine Standardfehleransicht bereit. 🎜🎜Wir können versuchen, CSRF-Ausnahmen abzufangen und unsere eigene Fehlerbehandlung in der Datei app/Exceptions/Handler.php anzugeben. Hier ist ein Beispiel für einen benutzerdefinierten CSRF-Ausnahmehandler: 🎜rrreee🎜 Im obigen Code fangen wir die Ausnahme TokenMismatchException ab und verwenden die Methode with, um die Fehlermeldung in Fehler in den Flash-Speicherdaten. Später können wir mit der Methode with auf diese Flash-Daten in der Ansicht zugreifen. 🎜🎜Schließlich können wir der Ansicht ein CSRF-Token-Feld für jedes Formular hinzufügen, das eine POST-, PUT- oder DELETE-Anfrage senden muss. Sie können ein CSRF-Token-Feld in Ihrem Formular mit der Methode csrf_field generieren, wie unten gezeigt: 🎜rrreee🎜 Zusammenfassung 🎜🎜 In diesem Artikel haben wir erläutert, wie Sie Ihre Anwendung mithilfe von Middleware bei Laravel-Angriffen vor CSRF schützen können. Wir haben die Anwendungssicherheit effektiv verbessert, indem wir CSRF-Tokens konfiguriert, die Standard-Middleware VerifyCsrfToken verwendet und CSRF-Fehlerbehandlungsmethoden angepasst haben. Ich glaube, dass diese Technologien Ihnen dabei helfen können, sicherere Webanwendungen zu erstellen. 🎜

Das obige ist der detaillierte Inhalt vonSo verwenden Sie Middleware für den Cross-Site Request Forgery (CSRF)-Schutz in Laravel. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!