解決方法:1、利用Laravel自動為每個使用者Session產生了一個“CSRF Token”,該Token可用於驗證登入使用者和發起請求者是否是同一人,如不是則請求失敗;2 、提供了一個全域幫助函數「csrf_token」來取得Token值,只需在視圖提交表單中加入token程式碼即可,語法為「<...value php="" echo="">」。
本文操作環境:Windows10系統、Laravel9版、Dell G3電腦。
CSRF是跨站請求偽裝(Cross-site request forgery)的英文縮寫;
Laravel框架中避免CSRF攻擊很簡單:
1、Laravel自動為每個使用者Session產生了一個CSRF Token,該Token可用於驗證登入使用者和發起請求者是否是同一人,如不是則請求失敗。 (原理和驗證碼是一致的。)
2、 Laravel提供了一個全域幫助函數csrf_token來取得Token值,因此只需在視圖提交表單中新增以下HTML程式碼即可在請求中帶上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
案例:透過案例實作csrf的機制驗證
1、建立兩個路由,一個用於展示表單(get),另外處理請求(post)
Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');
2、建立需要的方法
public function test6(){
return view('home.test.test6');
}
public function test7()
{
return "请求提交成功";
}3、建立需要的簡易表單
4、提交效果(錯誤頁面)
結論:透過剛才的案例,說明在laravel中csrf驗證機制預設是開啟的。
5、解決錯誤問題(如何透過csrf驗證)
解決想法:帶上csrf需要token值,隨著請求傳遞給後續的方法
<form action="/home/test/test7" method="post">
用户名:<input type="text" name="username"><br>
<input type="hidden" name="_token" value="{{csrf_token()}}">
{{csrf_field()}}
<input type="submit" value="提交"></form>針對csrf_token方法的簡化:{{csrf_field()}}
具體的表現形式:
#兩者的差異:
Csrf_token只是輸出token的值
Csrf_field輸出了一個整個的input隱藏域
在後期使用的時候怎麼選擇:大部分情況下可以自己根據情況選擇。但是有一個情況下開發者是沒有選擇權限的,必須需要使用csrf_token的,這個情況就是使用非同步提交表單的方式。
並不是所有請求都需要避免CSRF攻擊,例如到第三方API取得資料的請求。
可以透過在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中間件中將要排除的請求URL添加到$except屬性數組中:
透過編寫配置設定例外:
單一設定路由排除寫法
'home.test.test6',
多個元素之間透過「,」分割,遵循陣列寫法。
'home.test.test6','home.test.test7'
如果需要排除全部路由使用csrf的話,可以寫成:
'*'
【相關建議:laravel影片教學】
以上是csrf攻擊在laravel的解決方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!
