Laravel의 양식 위조 및 CSRF 보호
우리는 현재 가장 인기 있는 API 디자인 사양이 RestFul API 디자인이라는 것을 알고 있습니다. Restful에는 get, post, put, patch, delete라는 5가지 일반적인 HTTP 메서드가 있습니다. html 형식을 사용하여 get 또는 post 메서드를 구성하는 것은 매우 쉽지만 다른 세 가지 메서드는 지원되지 않습니다. 하지만 라라벨에서는 폼 위조 기술을 통해 위에서 언급한 나머지 3가지 방법을 사용할 수 있습니다.
추천 튜토리얼: "laravel Framework"
준비 작업
먼저 준비 작업을 해야 합니다. 양식 경로와 양식을 허용하는 경로라는 두 가지 경로를 만들어야 합니다.
// 表单页
Route::get('form', function () {
return view('form');
});
// 接受表单请求
Route::any('getform', function () {
return \Illuminate\Support\Facades\Request::method();
});처음에는 가장 간단한 get 요청 양식을 만들었으며 내용은 다음과 같습니다.
<form method="get" action="/getform">
<input type="submit" value="sub" />
</form>제출 버튼을 클릭하면 브라우저에 'GET'이 표시되어 get 요청이 성공적으로 전송되고 수락되었음을 나타냅니다.
CSRF protection
그런 다음 게시 방법으로 변경한 다음 새로 고침하고 제출 버튼을 클릭하여 어떤 일이 일어나는지 확인합니다. "페이지 만료됨" 및 상태 코드 419 오류가 표시됩니다. Laravel이 게시 요청을 수락할 수 없는 이유는 무엇입니까? 여기에서는 laravel의 기본 CSRF 보호 메커니즘을 소개합니다.
Laravel은 사이트 간 요청 위조 공격을 방지하기 위해 CSRF 토큰 보호 기능을 제공합니다. 따라서 get 메소드 요청을 제외한 모든 메소드에 대해 다음과 같이 CSRF 토큰을 양식에 추가해야 합니다.
<input type="hidden" name="_token" value="{{csrf_token()}}">또한 약어가 있습니다. 방법은 다음과 같습니다:
@csrf
CSRF 보호 기능 끄기
전체 사이트의 CSRF 기능을 끄는 것은 일반적으로 권장되지 않습니다. 끄는 것은 매우 간단합니다.
를 주석 처리하면 됩니다. Kernel.php 파일의\App\Http\Middleware\VerifyCsrfToken::class
라인.
CSRF 화이트리스트
제3자가 제공하는 API 인터페이스와 같이 CSRF 보호가 필요하지 않은 URL 세트를 설정해야 하는 경우가 많습니다. 모든 외부 API 인터페이스에는 CSRF 보호가 필요하지 않기를 바랍니다. 그런 다음 CSRF 화이트리스트 기능을 사용하여 app/Http/Middleware/VerifyCsrfToken.php 파일에 화이트리스트를 설정할 수 있습니다.
class VerifyCsrfToken extends Middleware
{
/**
* The URIs that should be excluded from CSRF verification.
*
* @var array
*/
protected $except = [
/* 这里是白名单列表 */
'http://example.com/api/*',
'api/*',
'a/b/*'
];
}참고: 테스트 편의를 위해 환경 테스트 시 csrf 기능이 자동으로 꺼집니다.
Form Forgery
CSRF 보호 메커니즘을 학습한 후 다음을 살펴보겠습니다. 양식 위조를 수행하는 방법. 양식을 위조하는 것은 매우 쉽습니다.
<input type="hidden" name="_method" value="PUT">
를 추가하거나
@method('PUT')
로 축약하면 됩니다. 다음은 Put 요청을 위조하는 양식입니다
위 내용은 Laravel의 양식 위조 및 CSRF 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7659
15
1393
52
1205
24
91
11
73
19
Laravel에서 이메일 전송이 실패 할 때 반환 코드를 얻는 방법은 무엇입니까?
Apr 01, 2025 pm 02:45 PM
Laravel 이메일 전송이 실패 할 때 반환 코드를 얻는 방법. Laravel을 사용하여 응용 프로그램을 개발할 때 종종 확인 코드를 보내야하는 상황이 발생합니다. 그리고 실제로 ...
laravel 일정 작업이 실행되지 않습니다 : 스케줄 후 작업이 실행되지 않으면 어떻게해야합니까?
Mar 31, 2025 pm 11:24 PM
laravel 일정 작업 실행 비 응답 문제 해결 Laravel의 일정 작업 일정을 사용할 때 많은 개발자 가이 문제에 직면합니다 : 스케줄 : 실행 ...
Laravel에서는 이메일로 확인 코드를 보내지 못하는 상황을 처리하는 방법은 무엇입니까?
Mar 31, 2025 pm 11:48 PM
Laravel의 이메일을 처리하지 않는 방법은 LaRavel을 사용하는 것입니다.
DCAT 관리자에서 데이터를 추가하기 위해 클릭하는 사용자 정의 테이블 기능을 구현하는 방법은 무엇입니까?
Apr 01, 2025 am 07:09 AM
DCAT를 사용할 때 DCATADMIN (LARAVEL-ADMIN)에서 데이터를 추가하려면 사용자 정의의 테이블 기능을 구현하는 방법 ...
Laravel - 덤프 서버
Aug 27, 2024 am 10:51 AM
Laravel - 덤프 서버 - Laravel 덤프 서버는 Laravel 5.7 버전과 함께 제공됩니다. 이전 버전에는 덤프 서버가 포함되어 있지 않습니다. 덤프 서버는 laravel/laravel 작곡가 파일의 개발 종속성이 됩니다.
Laravel Redis Connection 공유 : 선택 메소드가 다른 연결에 영향을 미치는 이유는 무엇입니까?
Apr 01, 2025 am 07:45 AM
Laravel 프레임 워크 및 Laravel 프레임 워크 및 Redis를 사용할 때 Redis 연결을 공유하는 데 영향을 줄 수 있습니다. 개발자는 문제가 발생할 수 있습니다. 구성을 통해 ...
Laravel 멀티 테넌트 확장 STANCL/TENANCY : 테넌트 데이터베이스 연결의 호스트 주소를 사용자 정의하는 방법은 무엇입니까?
Apr 01, 2025 am 09:09 AM
Laravel 다중 테넌트 확장 패키지 패키지 패키지 패키지 패키지 Stancl/Tenancy, ...
Laravel - 작업 URL
Aug 27, 2024 am 10:51 AM
Laravel - 액션 URL - Laravel 5.7에는 "호출 가능한 액션 URL"이라는 새로운 기능이 도입되었습니다. 이 기능은 액션 메소드에서 문자열을 허용하는 Laravel 5.6의 기능과 유사합니다. Laravel 5.7에 도입된 새로운 구문의 주요 목적은
