コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ PHPフレームワーク Laravel Laravel ミドルウェアを使用してアプリケーションを保護する方法

Laravel ミドルウェアを使用してアプリケーションを保護する方法

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
Nov 03, 2023 pm 12:52 PM
laravel ミドルウェア 安全保護

Laravel ミドルウェアを使用してアプリケーションを保護する方法

Web アプリケーションが複雑になるにつれて、アプリケーションのセキュリティを確保することがますます重要になります。 Laravel のミドルウェアは、アプリケーションのセキュリティを強化しながら、悪意のある攻撃からアプリケーションを保護するためのシンプルで便利な方法を提供します。この記事では、Laravel でミドルウェアを使用してアプリケーションを保護する方法を説明し、具体的なコード例を示します。

ミドルウェアとは何ですか?

ミドルウェアは、リクエストとレスポンスの間に実行されるコードです。ミドルウェアを使用すると、ルーターとコントローラーの間でリクエストを透過的にフィルタリングできます。カスタム ミドルウェアを作成し、アプリケーションのルーターまたはコントローラーにリンクできます。

ミドルウェアは、次の問題を解決するように設計されています。

  • 認証: ユーザーが認証されており、アプリケーションにアクセスする権限があることを確認します。
  • Authorization: ユーザー/ロールに、要求されたアクションを実行する権限があるかどうかを判断します。
  • ロギング: デバッグまたはセキュリティ監査のために、リクエストとレスポンスの重要な情報を記録します。
  • キャッシュ: リクエストとレスポンスをキャッシュしてパフォーマンスを向上させます。
  • データ転送: リクエストとレスポンスのデータを変換/フォーマットします。
  • セキュリティ: クロスサイト リクエスト フォージェリ (CSRF)、クロスサイト スクリプティング (XSS)、およびその他のセキュリティ脆弱性からアプリケーションが保護されていることを確認します。

ミドルウェアを作成するにはどうすればよいですか?

Laravel でミドルウェアを作成するのは非常に簡単です。ミドルウェアを作成する手順は次のとおりです。

  1. ミドルウェア クラスの作成

まず、ミドルウェア クラスを作成する必要があります。アーティザン コマンドを使用してミドルウェアのテンプレートを作成できます。 

php artisan make:middleware MiddlewareName
ログイン後にコピー
  1. ミドルウェアの構成

ミドルウェア クラスを作成したら、それを HTTP カーネルで構成する必要があります。アプリケーション ミドルウェアを登録します。このファイルは /app/Http ディレクトリにあります。ミドルウェアを $middleware 配列に追加します。

  1. ルーター/コントローラーでのミドルウェアの使用

最後に、カスタム ミドルウェアをアプリケーションのルーターまたはコントローラーに接続できます。ミドルウェア方式を使用して、ルーター/コントローラーにミドルウェアを追加できます。例: 

Route::get('/path', 'Controller@action')
                    ->middleware('middlewareName');
ログイン後にコピー

これにより、リクエストはコントローラーに到達する前にミドルウェアを通過します。

アプリケーションの保護

ミドルウェアの作成方法を理解したところで、それを使用してアプリケーションを保護する方法を見てみましょう。

  1. CSRF

CSRF 攻撃とは、攻撃者が被害者のログイン資格情報 (Cookie またはセッション) を使用して、被害者に代わって操作を完了する攻撃方法を指します。未検証のリクエストは、簡単にセキュリティ上の脆弱性につながる可能性があります。これらの問題は、Laravel の組み込み CSRF 保護を使用して簡単に回避できます。

アプリケーションでは、アプリケーションの HTTP コアで CSRF 保護を有効にすることができます。 

// 在Http/Kernel.php文件中
class Kernel extends HttpKernel
{
    protected $middleware = [
        IlluminateFoundationHttpMiddlewareCheckForMaintenanceMode::class,
        IlluminateFoundationHttpMiddlewareValidatePostSize::class,
        AppHttpMiddlewareTrimStrings::class,
        IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class,
        IlluminateSessionMiddlewareStartSession::class,
        IlluminateViewMiddlewareShareErrorsFromSession::class,
        AppHttpMiddlewareVerifyCsrfToken::class,
    ];
}
ログイン後にコピー
  1. XSS

クロスサイト スクリプティング攻撃 (XSS) とは、攻撃者が被害者のブラウザ上で悪意のある JavaScript コードを実行する攻撃方法です。 。これにより、情報漏洩、悪意のあるコードの挿入、その他のセキュリティ上の脆弱性が発生する可能性があります。 Laravel のミドルウェアは、XSS 攻撃による被害を軽減するのに役立ちます。

Laravel では、HtmlPurifier またはその他のサードパーティ パッケージを使用して入力データをフィルタリングできます。以下に例を示します。 

//在app/Http/Middleware/HtmlPurifier.php文件中
namespace AppHttpMiddleware;

use Closure;
use HTMLPurifier;

class HtmlPurifier
{
    public function handle($request, Closure $next)
    {
        $input = $this->purify($request->input());
        $request->merge($input);
        return $next($request);
    }

    protected function purify(array $input)
    {
        $config = HTMLPurifier_Config::createDefault();
        $purifier = new HTMLPurifier($config);
        foreach ($input as $key => $value) {
            $input[$key] = $purifier->purify($value);
        }
        return $input;
    }
}
ログイン後にコピー
  1. Authorization

Authorization は、ユーザー/ロールに要求されたアクションを実行する権限があるかどうかを判断するのに役立ちます。 Laravel の組み込み承認により、これが簡単になります。

まず、認可ポリシー クラスを作成する必要があります。 Artisan コマンドを使用して、このクラスのテンプレートを生成します。 

php artisan make:policy PostPolicy --model=Post
ログイン後にコピー

これにより、アプリケーションの /app/Policies ディレクトリに新しい PostPolicy クラスが作成されます。

また、アプリケーション内のサービス プロバイダーに認可ポリシーを登録する必要があります。アプリケーションの AuthServiceProvider で承認ポリシーを定義します。 

// 在app/Providers/AuthServiceProvider.php文件中
namespace AppProviders;

use AppPost;
use AppPoliciesPostPolicy;
use IlluminateSupportFacadesGate;
use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider;

class AuthServiceProvider extends ServiceProvider
{
    protected $policies = [
        Post::class => PostPolicy::class,
    ];

    // 注册策略
    public function boot()
    {
        $this->registerPolicies();
    }
}
ログイン後にコピー

次に、コントローラーで Laravel の authorize メソッドを使用して、要求されたアクションを実行する権限がユーザーにあることを確認する必要があります。例: 

public function update(Request $request, Post $post)
{
    $this->authorize('update', $post);
    // 只有具备操作权限的用户才能看到以下内容
    return view('posts.update', [
        'post' => $post
    ]);
}
ログイン後にコピー

認可後は、認可ポリシーによって許可されたユーザー/ロールのみがposts.updateビューを表示できます。

概要

Laravel のミドルウェアは、開発者が CSRF、XSS、その他のセキュリティ脆弱性からアプリケーションを迅速かつ簡単に保護できる強力なセキュリティ ツールです。この記事では、ミドルウェアを使用してアプリケーションを保護する方法を示す具体的なコード例を示します。アプリケーションを保護するためにミドルウェアの使用をまだ開始していない場合は、今すぐに開始してください。

以上がLaravel ミドルウェアを使用してアプリケーションを保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

KB5055523を修正する方法Windows 11にインストールできませんか?
3週間前 By DDD
KB5055518を修正する方法Windows 10にインストールできませんか?
3週間前 By DDD
<🎜>:死んだレール - オオカミの飼い主
1 か月前 By DDD
R.E.P.O.のすべての敵とモンスターの強度レベル
1 か月前 By 尊渡假赌尊渡假赌尊渡假赌
<🎜>:庭を育てる - 完全な突然変異ガイド
2週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Java チュートリアル
1662
14
CakePHP チュートリアル
1419
52
Laravel チュートリアル
1312
25
PHP チュートリアル
1262
29
C# チュートリアル
1235
24
もっと見る
Related knowledge
バングラ部分モデル検索のlaravelEloquent orm) バングラ部分モデル検索のlaravelEloquent orm) Apr 08, 2025 pm 02:06 PM

LaravelEloquentモデルの検索:データベースデータを簡単に取得するEloquentormは、データベースを操作するための簡潔で理解しやすい方法を提供します。この記事では、さまざまな雄弁なモデル検索手法を詳細に紹介して、データベースからのデータを効率的に取得するのに役立ちます。 1.すべてのレコードを取得します。 ALL()メソッドを使用して、データベーステーブルですべてのレコードを取得します:useapp \ models \ post; $ post = post :: all();これにより、コレクションが返されます。 Foreach Loopまたはその他の収集方法を使用してデータにアクセスできます。

Laravelは紹介例 Laravelは紹介例 Apr 18, 2025 pm 12:45 PM

Laravelは、Webアプリケーションを簡単に構築するためのPHPフレームワークです。次のような強力な機能を提供します。インストール:Laravel CLIを作曲家にグローバルにインストールし、プロジェクトディレクトリにアプリケーションを作成します。ルーティング:ルート/web.phpのURLとハンドラーの関係を定義します。ビュー:リソース/ビューでビューを作成して、アプリケーションのインターフェイスをレンダリングします。データベース統合:MySQLなどのデータベースとのすぐ外側の統合を提供し、移行を使用してテーブルを作成および変更します。モデルとコントローラー:モデルはデータベースエンティティを表し、コントローラーはHTTP要求を処理します。

クラフトCMSのキャッシングの問題を解決する:Wiejeben/Craft-Laravel-Mixプラグインの使用 クラフトCMSのキャッシングの問題を解決する:Wiejeben/Craft-Laravel-Mixプラグインの使用 Apr 18, 2025 am 09:24 AM

CraftCMSを使用してWebサイトを開発する場合、特にCSSやJavaScriptファイルを頻繁に更新する場合、リソースファイルのキャッシュ問題が発生することがよくあります。古いバージョンのファイルがブラウザによってキャッシュされ、ユーザーが最新の変更を表示しないようにすることがあります。この問題は、ユーザーエクスペリエンスに影響を与えるだけでなく、開発とデバッグの難しさを高めます。最近、プロジェクトで同様のトラブルに遭遇し、いくつかの調査の後、プラグインWiejeben/Craft-Laravel-Mixが見つかりました。

Laravelユーザーログイン機能 Laravelユーザーログイン機能 Apr 18, 2025 pm 12:48 PM

Laravelは、ユーザーモデル(Eloquentモデル)の定義、ログインフォームの作成(ブレードテンプレートエンジン)、ログインコントローラーの作成(認証\ログインコントローラーの継承)、ログイン要求の検証(Auth ::試行)の検証など、ユーザーログイン機能を実装するための包括的なAuthフレームワークを提供します。ヘッダー。さらに、AUTHフレームワークは、パスワードのリセット、電子メールの登録と検証などの機能も提供します。詳細については、Laravelのドキュメントを参照してください:https://laravel.com/doc

LaravelとThe BackEnd:Webアプリケーションロジックの電源 LaravelとThe BackEnd:Webアプリケーションロジックの電源 Apr 11, 2025 am 11:29 AM

Laravelはバックエンドロジックでどのように役割を果たしますか?ルーティングシステム、Eloquentorm、認証と承認、イベントとリスナー、パフォーマンスの最適化を通じてバックエンド開発を簡素化および強化します。 1.ルーティングシステムにより、URL構造の定義とリクエスト処理ロジックが可能になります。 2.Eloquentormは、データベースの相互作用を簡素化します。 3.認証および承認システムは、ユーザー管理に便利です。 4.イベントとリスナーは、ゆるく結合したコード構造を実装します。 5.パフォーマンスの最適化により、キャッシュとキューイングを通じてアプリケーションの効率が向上します。

Laravel Frameworkインストール方法 Laravel Frameworkインストール方法 Apr 18, 2025 pm 12:54 PM

記事の概要:この記事では、Laravelフレームワークを簡単にインストールする方法について読者をガイドするための詳細なステップバイステップの指示を提供します。 Laravelは、Webアプリケーションの開発プロセスを高速化する強力なPHPフレームワークです。このチュートリアルは、システム要件からデータベースの構成とルーティングの設定までのインストールプロセスをカバーしています。これらの手順に従うことにより、読者はLaravelプロジェクトのための強固な基盤を迅速かつ効率的に築くことができます。

Laravelを学ぶ方法Laravelを無料で学ぶ方法 Laravelを学ぶ方法Laravelを無料で学ぶ方法 Apr 18, 2025 pm 12:51 PM

Laravelフレームワークを学びたいが、資源や経済的圧力に苦しんでいないのですか?この記事では、Laravelの無料学習を提供し、オンラインプラットフォーム、ドキュメント、コミュニティフォーラムなどのリソースを使用して、PHP開発の旅から習得するための堅実な基盤を築く方法を教えてくれます。

Laravelのバージョン番号を表示する方法は? Laravelのバージョン番号を表示する方法 Laravelのバージョン番号を表示する方法は? Laravelのバージョン番号を表示する方法 Apr 18, 2025 pm 01:00 PM

Laravelフレームワークには、開発者のさまざまなニーズを満たすためにバージョン番号を簡単に表示するための組み込みの方法があります。この記事では、Composer Command Lineツールの使用、.ENVファイルへのアクセス、PHPコードを介したバージョン情報の取得など、これらの方法について説明します。これらの方法は、Laravelアプリケーションのバージョン化の維持と管理に不可欠です。

See all articles