Laravelのフォーム偽造とCSRF保護
現在最も人気のある API 設計仕様は、restFul API 設計であることがわかっています。 Restful には、get、post、put、patch、delete という 5 つの一般的な HTTP メソッドがあります。 HTML フォームを使用して get メソッドまたは post メソッドを構築するのは非常に簡単ですが、他の 3 つのメソッドはサポートされていません。しかし、laravelでは、フォーム偽造技術を通じて上記の他の3つの方法を使用できます。
推奨チュートリアル: "laravel Framework"
準備作業
まずは準備をする必要がありますよくやった。フォーム ルートとフォームを受け入れるルートの 2 つのルートを作成する必要があります。
// 表单页
Route::get('form', function () {
return view('form');
});
// 接受表单请求
Route::any('getform', function () {
return \Illuminate\Support\Facades\Request::method();
});最初に、最も単純な取得リクエスト フォームを作成しました。内容は次のとおりです。
<form method="get" action="/getform">
<input type="submit" value="sub" />
</form>送信ボタンをクリックすると、ブラウザに「GET」が表示され、取得が完了したことを示します。リクエストは正常に送信され、受け入れられました。
CSRF 保護
次に、post メソッドに変更し、更新して送信ボタンをクリックして、何が起こるかを確認します。 「ページの有効期限が切れました」というエラーとステータス コード 419 が表示されます。なぜlaravelは投稿リクエストを受け入れられないのでしょうか?ここでは、laravelのデフォルトのCSRF保護メカニズムを紹介します。
クロスサイトリクエストフォージェリ攻撃を防ぐために、laravel は CSRF トークン保護を提供します。したがって、get メソッドリクエストを除くすべてのメソッドについて、リーダーは次のように CSRF トークンをフォームに追加する必要があります。 ##
<input type="hidden" name="_token" value="{{csrf_token()}}">@csrf
CSRF保護機能をオフにする
一般的にはサイト全体の CSRF 機能をオフにすることはお勧めできません。オフにするのは非常に簡単で、Kernel.php ファイルの\App\Http\Middleware\VerifyCsrfToken::class
CSRF ホワイトリスト
サードパーティが提供する API インターフェイスなど、CSRF 保護を必要としない URL のグループを設定する必要があることがよくあります。すべての外部 API インターフェイスが CSRF 保護を必要としないことが望まれます。次に、CSRF ホワイトリスト関数を使用して、app/Http/Middleware/VerifyCsrfToken.php ファイルにホワイトリストを設定できます。次のとおりです:class VerifyCsrfToken extends Middleware
{
/**
* The URIs that should be excluded from CSRF verification.
*
* @var array
*/
protected $except = [
/* 这里是白名单列表 */
'http://example.com/api/*',
'api/*',
'a/b/*'
];
}注: テストを容易にするために、環境をテストするときに csrf 機能が自動的にオフになります
#フォーム偽造
CSRF 保護メカニズムを学習した後、フォームを偽造する方法を見てみましょう。フォームを偽造するのも非常に簡単です。フォームに<input type="hidden" name="_method" value="PUT">
@method('PUT')
以上がLaravelのフォーム偽造とCSRF保護の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7659
15
1393
52
1205
24
91
11
Laravelで電子メールの送信が失敗したときに返品コードを取得する方法は?
Apr 01, 2025 pm 02:45 PM
Laravelの電子メールの送信が失敗したときに戻りコードを取得する方法。 Laravelを使用してアプリケーションを開発する場合、検証コードを送信する必要がある状況に遭遇することがよくあります。そして実際には...
Laravelスケジュールタスクは実行されません:スケジュール:実行コマンドの後にタスクが実行されていない場合はどうすればよいですか?
Mar 31, 2025 pm 11:24 PM
LaravelスケジュールタスクRAN RANSPONSIVEトラブルシューティングRALAVELのスケジュールタスクスケジューリングを使用すると、多くの開発者がこの問題に遭遇します。スケジュール:実行...
Laravelでは、検証コードが電子メールで送信できない状況に対処する方法は?
Mar 31, 2025 pm 11:48 PM
Laravelの電子メールの検証コードの送信の障害を処理する方法は、Laravelを使用することです...
DCAT管理者にデータを追加するためにクリックのカスタムテーブル関数を実装する方法は?
Apr 01, 2025 am 07:09 AM
DCATを使用するときにDCATADMIN(Laravel-Admin)にデータを追加するためにカスタムクリックのテーブル関数を実装する方法...
Laravel - ダンプサーバー
Aug 27, 2024 am 10:51 AM
Laravel - ダンプサーバー - Laravel ダンプサーバーには、Laravel 5.7 のバージョンが付属しています。以前のバージョンにはダンプ サーバーが含まれていません。ダンプサーバーはlaravel/laravelコンポーザーファイルの開発依存関係になります。
Laravel Redis接続共有:選択方法が他の接続に影響するのはなぜですか?
Apr 01, 2025 am 07:45 AM
Laravel FrameworkでRedis接続の共有の影響とLaravelフレームワークとRedisを使用する際のメソッドを選択すると、開発者は問題に遭遇する可能性があります。
Laravel Multi-Tenant Extension Stancl/Tenancy:テナントデータベース接続のホストアドレスをカスタマイズする方法は?
Apr 01, 2025 am 09:09 AM
Laravel Multi-Tenant拡張機能パッケージStancl/Tenancyのカスタムテナントデータベース接続Laravel Multi-Tenant ExtensionパッケージStancl/Tenancyを使用したマルチテナントアプリケーションを構築する際の...
Laravel - アクション URL
Aug 27, 2024 am 10:51 AM
Laravel - アクション URL - Laravel 5.7 では、「呼び出し可能なアクション URL」と呼ばれる新機能が導入されています。この機能は、アクションメソッドで文字列を受け入れるLaravel 5.6の機能に似ています。 Laravel 5.7 で導入された新しい構文の主な目的は、
