Laravel でクロスサイト リクエスト フォージェリ (CSRF) 保護のためのミドルウェアを使用する方法
最新の Web アプリケーションでは、クロスサイト リクエスト フォージェリ (CSRF) 攻撃が一般的な攻撃方法になっています。Laravel は、CSRF 保護メカニズムが組み込まれた人気のある PHP フレームワークです。ミドルウェアを使用すると、アプリケーションに CSRF 保護を簡単に追加できます。
この記事では、Laravel で CSRF 保護のためのミドルウェアを使用する方法を紹介し、具体的なコード例を示します。
クロスサイト リクエスト フォージェリ (CSRF) 攻撃とは何ですか?
クロスサイト リクエスト フォージェリ攻撃、英語名は Cross-Site Request Forgery、CSRF と呼ばれ、ユーザー ID を偽造して悪意のあるリクエストを開始する攻撃方法です。
攻撃者は通常、ユーザーをだまして悪意のあるリンクのあるページをクリックさせたり、被害者がログインした Web サイトに悪意のあるスクリプトを挿入したりすることで CSRF 攻撃を実行します。被害者がログインすると、攻撃者は一連の悪意のあるリクエスト (パスワードの変更、メッセージの投稿など) を開始します。これらのリクエストは被害者にとって正当であるように見えますが、実際には、これらのリクエストは攻撃者によって開始されます。被害者に一定の損害を与えることになります。
Laravel で CSRF 保護用のミドルウェアを使用するにはどうすればよいですか?
Laravel は、CSRF 攻撃からアプリケーションを保護するための非常に便利なメカニズムを提供します。 Laravel フレームワークには CSRF 保護メカニズムが組み込まれており、ミドルウェアを通じて実装できます。
Laravel では、CSRF ミドルウェアを使用して、POST、PUT、DELETE リクエストの CSRF トークンが有効かどうかを確認します。デフォルトでは、Laravel は VerifyCsrfToken ミドルウェアをアプリケーションに追加し、これらのリクエストの CSRF トークンが有効かどうかを自動的にチェックします。
CSRFトークンが無効な場合、LaravelはTokenMismatchException例外をスローし、デフォルトのエラービューを提供します。独自のニーズに応じてエラー処理をカスタマイズすることもできます。
CSRF トークンの設定
Laravel は、各ユーザー セッションでアプリケーションの CSRF トークンを生成します。設定ファイル config/csrf.php でアプリケーションを設定できます。 CSRFトークンの構成。この構成ファイルを使用すると、リクエスト内の CSRF COOKIE と CSRF トークンの名前を構成できます。
<?php
return [
/*
|--------------------------------------------------------------------------
| CSRF Cookie Name
|--------------------------------------------------------------------------
|
| The name of the cookie used to store the CSRF token.
|
*/
'cookie' => 'XSRF-TOKEN',
/*
|--------------------------------------------------------------------------
| CSRF Header Name
|--------------------------------------------------------------------------
|
| The name of the CSRF header used to store the CSRF token.
|
*/
'header' => 'X-XSRF-TOKEN',
/*
|--------------------------------------------------------------------------
| CSRF Token Expiration
|--------------------------------------------------------------------------
|
| The number of minutes that the CSRF token should be considered valid.
|
*/
'expire' => 60,
];CSRF ミドルウェアの使用
VerifyCsrfTokenLaravel のミドルウェアは、ルートで定義された POST、PUT、または DELETE リクエストで CSRF トークンが有効かどうかを確認します。デフォルトでは、アプリケーションの routes/web.php ファイルは、web ミドルウェアに加えて、VerifyCsrfToken ミドルウェアも使用します。
アプリケーション内の他のルートで使用するために、CSRF ミドルウェアをミドルウェア グループに追加できます。ミドルウェアでルートを保護するには、次のように middleware メソッドを使用してルート定義にルートを追加します。
Route::middleware(['web', 'csrf'])->group(function () {
//
});カスタム CSRF エラー処理
デフォルトの場合VerifyCsrfToken ミドルウェアを使用して不正な CSRF トークンが検出された場合、Laravel は TokenMismatchException 例外をスローし、デフォルトのエラー ビューを提供します。
CSRF 例外をキャッチして、独自のエラー処理メソッドを app/Exceptions/Handler.php ファイルで指定することができます。カスタム CSRF 例外ハンドラーの例を次に示します。
<?php
namespace AppExceptions;
use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;
class Handler extends ExceptionHandler
{
/**
* A list of the exception types that should be reported.
*
* @var array
*/
protected $dontReport = [
TokenMismatchException::class,
];
/**
* Report or log an exception.
*
* @param Exception $exception
* @return void
*
* @throws Exception
*/
public function report(Exception $exception)
{
parent::report($exception);
}
/**
* Render an exception into an HTTP response.
*
* @param IlluminateHttpRequest $request
* @param Exception $exception
* @return IlluminateHttpResponse
*
* @throws Exception
*/
public function render($request, Exception $exception)
{
if ($exception instanceof TokenMismatchException) {
// 处理CSRF异常
return redirect()
->back()
->withInput($request->input())
->with('error', 'CSRF Token Mismatch');
}
return parent::render($request, $exception);
}
} 上記のコードでは、TokenMismatchException 例外をキャッチし、with メソッドを使用してエラー メッセージを渡します。 error フラッシュ データに保存します。後で、with メソッドを使用してビュー内のこのフラッシュ データにアクセスできます。
最後に、POST、PUT、または DELETE リクエストの送信が必要なフォームのビューに CSRF トークン フィールドを追加できます。 CSRF トークン フィールドは、以下に示すように、csrf_field メソッドを使用してフォームで生成できます。
<form method="POST" action="/example">
{{ csrf_field() }}
<!-- Your form fields go here... -->
<button type="submit">Submit</button>
</form>summary
この記事では、CSRF トークン フィールドの使用方法を紹介しました。 Laravel ミドルウェアは、CSRF 攻撃からアプリケーションを保護します。デフォルトの VerifyCsrfToken ミドルウェアを使用して CSRF トークンを構成し、CSRF エラー処理方法をカスタマイズすることで、アプリケーションのセキュリティを効果的に改善しました。これらのテクノロジーは、より安全な Web アプリケーションの構築に役立つと信じています。
以上がLaravel でクロスサイト リクエスト フォージェリ (CSRF) 保護のためのミドルウェアを使用する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7504
15
1378
52
78
11
19
54
Laravel と CodeIgniter の最新バージョンの比較
Jun 05, 2024 pm 05:29 PM
Laravel 9 と CodeIgniter 4 の最新バージョンでは、更新された機能と改善が提供されます。 Laravel9はMVCアーキテクチャを採用しており、データベース移行、認証、テンプレートエンジンなどの機能を提供します。 CodeIgniter4 は、HMVC アーキテクチャを使用してルーティング、ORM、およびキャッシュを提供します。パフォーマンスの面では、Laravel9 のサービスプロバイダーベースの設計パターンと CodeIgniter4 の軽量フレームワークにより、優れたパフォーマンスが得られます。実際のアプリケーションでは、Laravel9 は柔軟性と強力な機能を必要とする複雑なプロジェクトに適しており、CodeIgniter4 は迅速な開発や小規模なアプリケーションに適しています。
PHP Framework セキュリティ ガイド: CSRF 攻撃を防ぐには?
Jun 01, 2024 am 10:36 AM
PHP Framework セキュリティ ガイド: CSRF 攻撃を防ぐには?クロスサイト リクエスト フォージェリ (CSRF) 攻撃は、攻撃者がユーザーをだまして被害者の Web アプリケーション内で意図しないアクションを実行させるネットワーク攻撃の一種です。 CSRFはどのように機能しますか? CSRF 攻撃は、ほとんどの Web アプリケーションが同じドメイン名の異なるページ間でリクエストを送信できるという事実を利用します。攻撃者は、被害者のアプリケーションにリクエストを送信する悪意のあるページを作成し、不正なアクションを引き起こします。 CSRF攻撃を防ぐにはどうすればよいでしょうか? 1. CSRF 対策トークンを使用する: 各ユーザーに一意のトークンを割り当て、セッションまたは Cookie に保存します。トークンを送信するための非表示フィールドをアプリケーションに含めます。
Laravel と CodeIgniter のデータ処理機能はどのように比較されますか?
Jun 01, 2024 pm 01:34 PM
Laravel と CodeIgniter のデータ処理機能を比較します。 ORM: Laravel はクラスとオブジェクトのリレーショナル マッピングを提供する EloquentORM を使用しますが、CodeIgniter は ActiveRecord を使用してデータベース モデルを PHP クラスのサブクラスとして表します。クエリビルダー: Laravel には柔軟なチェーンクエリ API がありますが、CodeIgniter のクエリビルダーはよりシンプルで配列ベースです。データ検証: Laravel はカスタム検証ルールをサポートする Validator クラスを提供しますが、CodeIgniter には組み込みの検証関数が少なく、カスタム ルールの手動コーディングが必要です。実践例:ユーザー登録例はLarを示しています
Laravel と CodeIgniter ではどちらが初心者に優しいでしょうか?
Jun 05, 2024 pm 07:50 PM
初心者にとって、CodeIgniter は学習曲線が緩やかで機能は少ないですが、基本的なニーズはカバーしています。 Laravel は幅広い機能セットを提供しますが、学習曲線はわずかに急になります。パフォーマンスの点では、Laravel と CodeIgniter はどちらも良好なパフォーマンスを示します。 Laravel にはより広範なドキュメントとアクティブなコミュニティ サポートがあり、CodeIgniter はよりシンプルで軽量で、強力なセキュリティ機能を備えています。ブログアプリケーションを構築する実際のケースでは、Laravel の EloquentORM を使用するとデータ操作が簡素化されますが、CodeIgniter ではより手動の構成が必要になります。
Laravel - アーティザンコマンド
Aug 27, 2024 am 10:51 AM
Laravel - アーティザン コマンド - Laravel 5.7 には、新しいコマンドを処理およびテストするための新しい方法が付属しています。これには職人コマンドをテストする新しい機能が含まれており、そのデモについては以下で説明します。
Laravel と CodeIgniter: 大規模プロジェクトにはどちらのフレームワークが適していますか?
Jun 04, 2024 am 09:09 AM
大規模プロジェクト用のフレームワークを選択する場合、Laravel と CodeIgniter にはそれぞれ独自の利点があります。 Laravel はエンタープライズレベルのアプリケーション向けに設計されており、モジュール設計、依存関係の注入、強力な機能セットを提供します。 CodeIgniter は、速度と使いやすさを重視した、小規模から中規模のプロジェクトに適した軽量フレームワークです。複雑な要件と多数のユーザーを伴う大規模なプロジェクトには、Laravel のパワーとスケーラビリティがより適しています。単純なプロジェクトやリソースが限られている状況では、CodeIgniter の軽量で迅速な開発機能がより理想的です。
Laravel と CodeIgniter: 小規模プロジェクトにはどちらのフレームワークが適していますか?
Jun 04, 2024 pm 05:29 PM
小規模なプロジェクトの場合、Laravel は強力な機能とセキュリティを必要とする大規模なプロジェクトに適しています。 CodeIgniter は、軽量さと使いやすさを必要とする非常に小規模なプロジェクトに適しています。
Laravel と CodeIgniter ではどちらのテンプレート エンジンが優れていますか?
Jun 03, 2024 am 11:30 AM
Laravel の Blade と CodeIgniter の Twig テンプレート エンジンを比較し、プロジェクトのニーズと個人的な好みに基づいて選択してください。Blade は MVC 構文に基づいており、適切なコード編成とテンプレートの継承を促進します。 Twig は、柔軟な構文、強力なフィルター、拡張サポート、セキュリティ サンドボックスを提供するサードパーティ ライブラリです。
