Apabila aplikasi web menjadi lebih kompleks, melindungi keselamatan aplikasi anda menjadi lebih penting. Middleware dalam Laravel menyediakan cara yang mudah dan berguna untuk melindungi aplikasi anda daripada serangan berniat jahat sambil meningkatkan keselamatan aplikasi anda. Artikel ini menerangkan cara menggunakan perisian tengah dalam Laravel untuk melindungi aplikasi anda dan menyediakan contoh kod khusus.
Apakah itu middleware?
Middleware ialah kod yang melaksanakan antara permintaan dan respons. Middleware membolehkan anda menapis permintaan secara telus antara penghala dan pengawal. Anda boleh mencipta perisian tengah tersuai dan memautkannya ke penghala atau pengawal aplikasi anda.
Middleware direka untuk menyelesaikan masalah berikut:
Bagaimana untuk mencipta perisian tengah?
Mencipta perisian tengah dalam Laravel adalah sangat mudah. Berikut ialah langkah-langkah untuk mencipta middleware:
Pertama, anda perlu mencipta kelas middleware. Anda boleh menggunakan arahan Artisan untuk mencipta templat untuk middleware:
php artisan make:middleware MiddlewareName
Setelah kelas middleware dicipta, anda perlu mendaftarkan middleware dalam kernel HTTP aplikasi anda. Fail ini terletak dalam direktori /app/Http. Tambahkan middleware anda pada tatasusunan $middleware.
Akhir sekali, anda boleh melampirkan perisian tengah tersuai anda pada penghala atau pengawal aplikasi anda. Anda boleh menggunakan kaedah middleware untuk menambah middleware pada penghala/pengawal anda. Contohnya:
Route::get('/path', 'Controller@action') ->middleware('middlewareName');
Ini akan membuat permintaan melalui perisian tengah terlebih dahulu sebelum mencapai pengawal.
Melindungi Aplikasi Anda
Sekarang kita memahami cara mencipta perisian tengah, mari kita terokai cara menggunakannya untuk melindungi aplikasi anda.
Serangan CSRF merujuk kepada kaedah serangan di mana penyerang menggunakan bukti kelayakan log masuk mangsa (kuki atau sesi) untuk menyelesaikan operasi bagi pihaknya. Permintaan yang tidak sah boleh membawa kepada kelemahan keselamatan dengan mudah. Masalah ini boleh dielakkan dengan mudah menggunakan perlindungan CSRF terbina dalam Laravel.
Dalam aplikasi anda, anda boleh mendayakan perlindungan CSRF dalam teras HTTP aplikasi. Anda biasanya akan melakukan ini:
// 在Http/Kernel.php文件中 class Kernel extends HttpKernel { protected $middleware = [ IlluminateFoundationHttpMiddlewareCheckForMaintenanceMode::class, IlluminateFoundationHttpMiddlewareValidatePostSize::class, AppHttpMiddlewareTrimStrings::class, IlluminateFoundationHttpMiddlewareConvertEmptyStringsToNull::class, IlluminateSessionMiddlewareStartSession::class, IlluminateViewMiddlewareShareErrorsFromSession::class, AppHttpMiddlewareVerifyCsrfToken::class, ]; }
Skrip merentas tapak (XSS) ialah serangan di mana penyerang melaksanakan kod JavaScript berniat jahat pada penyemak imbas mangsa. Ini boleh membawa kepada pendedahan maklumat, suntikan kod hasad dan kelemahan keselamatan yang lain. Middleware dalam Laravel boleh membantu anda mengurangkan kerosakan yang disebabkan oleh serangan XSS.
Dalam Laravel, anda boleh menggunakan HtmlPurifier atau pakej pihak ketiga yang lain untuk menapis data input anda. Berikut ialah contoh:
//在app/Http/Middleware/HtmlPurifier.php文件中 namespace AppHttpMiddleware; use Closure; use HTMLPurifier; class HtmlPurifier { public function handle($request, Closure $next) { $input = $this->purify($request->input()); $request->merge($input); return $next($request); } protected function purify(array $input) { $config = HTMLPurifier_Config::createDefault(); $purifier = new HTMLPurifier($config); foreach ($input as $key => $value) { $input[$key] = $purifier->purify($value); } return $input; } }
Keizinan boleh membantu anda menentukan sama ada pengguna/peranan mempunyai kebenaran untuk melaksanakan tindakan yang diminta. Keizinan terbina dalam Laravel memudahkan perkara ini.
Pertama, anda perlu membuat kelas dasar kebenaran. Gunakan perintah Artisan untuk menjana templat untuk kelas ini:
php artisan make:policy PostPolicy --model=Post
Ini akan mencipta kelas PostPolicy baharu dalam direktori /app/Policies aplikasi anda.
Anda juga perlu mendaftar polisi kebenaran dengan pembekal perkhidmatan dalam permohonan anda. Tentukan dasar kebenaran dalam AuthServiceProvider aplikasi anda:
// 在app/Providers/AuthServiceProvider.php文件中 namespace AppProviders; use AppPost; use AppPoliciesPostPolicy; use IlluminateSupportFacadesGate; use IlluminateFoundationSupportProvidersAuthServiceProvider as ServiceProvider; class AuthServiceProvider extends ServiceProvider { protected $policies = [ Post::class => PostPolicy::class, ]; // 注册策略 public function boot() { $this->registerPolicies(); } }
Seterusnya, anda perlu menggunakan kaedah kebenaran Laravel dalam pengawal anda untuk mengesahkan bahawa pengguna mempunyai kebenaran untuk melakukan tindakan yang diminta. Contohnya:
public function update(Request $request, Post $post) { $this->authorize('update', $post); // 只有具备操作权限的用户才能看到以下内容 return view('posts.update', [ 'post' => $post ]); }
Selepas kebenaran, hanya pengguna/peranan yang dibenarkan oleh dasar kebenaran boleh melihat paparan posts.update.
Ringkasan
Middleware dalam Laravel ialah alat keselamatan yang berkuasa yang boleh membantu pembangun dengan cepat dan mudah melindungi aplikasi daripada CSRF, XSS dan kelemahan keselamatan yang lain. Artikel ini menyediakan contoh kod konkrit untuk menunjukkan cara menggunakan perisian tengah untuk melindungi aplikasi anda. Jika anda belum mula menggunakan perisian tengah untuk melindungi aplikasi anda, sekarang adalah masa untuk bermula.
Atas ialah kandungan terperinci Cara menggunakan perisian tengah Laravel untuk melindungi aplikasi anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!