ホームページ > PHPフレームワーク > Laravel > Laravelでcsrfを防ぐ方法

Laravelでcsrfを防ぐ方法

WBOY
リリース: 2023-05-20 20:06:36
オリジナル
633 人が閲覧しました

Laravel は、多くの実用的なツールとセキュリティ対策を提供する人気の PHP フレームワークで、開発者は高度な Web アプリケーションを簡単に構築できます。中でも、クロスサイト リクエスト フォージェリ (CSRF) 攻撃の防止は非常に重要なセキュリティ対策です。この記事では、LaravelでCSRF攻撃を効果的に防ぐ方法を紹介します。

CSRF 攻撃とは何ですか?

Laravel が CSRF 攻撃をどのように防ぐかを詳しく見る前に、まず CSRF 攻撃とは何かを理解しましょう。 CSRF 攻撃 (クロスサイト リクエスト フォージェリ) は、「ワンクリック攻撃」または「セッションライディング」とも呼ばれ、ネットワーク攻撃手法です。攻撃者は、認証された Web サイトに対するユーザーのセッション権限を使用して、ユーザーの知らないうちに攻撃を実行します。 . 違法な操作を行う。つまり、攻撃者はユーザーを騙して Web サイト上で操作を実行させ、違法に資金を送金したり、ユーザーの機密情報を盗んだりします。

CSRF 攻撃の原理は複雑ではなく、攻撃者は、危険な操作を実行するリクエストを含むフォームまたはリンクを Web サイト上に偽造します。攻撃者は、ユーザーにこれらの偽のフォームをクリックまたは送信するよう誘導し、ユーザーがこれらの操作を実行すると、その機会を利用してユーザーの情報を盗み、何らかの不正な操作を実行する可能性があります。

CSRF 攻撃を防ぐにはどうすればよいですか?

Laravel は、CSRF 攻撃を防ぐためのいくつかの方法を提供します。一般的に使用される方法は次のとおりです:

  1. CSRF トークン

Laravel は CSRF トークンを使用して、CSRF 攻撃を防ぎます。 CSRF 攻撃の場合、トークンはフォーム送信時に送信され、サーバー側で検証されます。 Laravel は、各アプリケーションの各フォームと AJAX リクエストに一意のトークンを提供します。このトークンは、フォームと AJAX リクエストに埋め込むことができます。リクエストがサーバーに送信されると、Laravel は、そのトークンが、応用。一致が成功した場合、リクエストは処理されます。

Laravel では、csrf_field() 関数を使用して、CSRF トークンを含む隠しフィールドを生成し、フォームに埋め込むことができます。例:

<form action="/your/url" method="POST">
    {{ csrf_field() }}
    <!-- 其他表单字段 -->
</form>
ログイン後にコピー
  1. X-CSRF-Token ヘッダー

AJAX を使用して POST リクエストを送信する場合、リクエストに X-CSRF-Token フィールドを追加できます。 header. このフィールドには、Laravel が検証する CSRF トークンが含まれます。

例:

$.ajaxSetup({
    headers: {
        'X-CSRF-Token': $('meta[name="_token"]').attr('content')
    }
});
ログイン後にコピー
  1. CSRF 検証ミドルウェア

Laravel では、CSRF 検証ミドルウェアを通じて、POST ごとに新しい値を作成できます。 CSRF 検証を強制するための PUT、PATCH、または DELETE リクエスト。リクエストに正しい CSRF トークンが含まれていない場合、リクエストは拒否され、HTTP 419 ステータス コードが返されます。

CSRF 検証ミドルウェアを有効にするには、CSRF ミドルウェアをミドルウェア グループに追加するだけです。

// app/Http/Kernel.php
protected $middlewareGroups = [
    'web' => [
        // 其他中间件
        IlluminateFoundationHttpMiddlewareVerifyCsrfToken::class,
    ],

    // 其他中间件组
];
ログイン後にコピー

注: CSRF トークンはリクエストごとに変更されるため、Ajax リクエストを作成するときはリクエスト ヘッダーの X-CSRF-Token フィールドをリセットする必要があります。そうしないと検証が失敗します。

概要

Laravel は、CSRF 攻撃を防ぐための強力なツールとセキュリティ対策を開発者に提供します。 CSRF トークン、X-CSRF-Token ヘッダー、および CSRF 検証ミドルウェアを使用することで、CSRF 攻撃を効果的に防止し、ユーザー情報のセキュリティを保護できます。 Laravel を Web 開発に使用する場合は、セキュリティの問題に注意を払い、Web サイトやユーザー情報が攻撃されたり脅かされたりしないように、さまざまなセキュリティ対策を積極的に模索して適用することが重要です。

以上がLaravelでcsrfを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート