首页 php框架 Laravel laravel的表单伪造与CSRF保护

laravel的表单伪造与CSRF保护

Dec 14, 2020 am 11:23 AM
laravel

我们知道,目前最流行的API设计规范就是restFul API设计了。restful有五种常见的HTTP方法,即:get、post、put、patch及delete。使用html表单非常容易构造get或post方法,但是另外三种方法却不支持。但是在laravel中,你可以通过表单伪造技术来使用上述的其他三种方法。

推荐教程:《laravel框架

准备工作

首先我们要把准备工作做好。我们需要创建两个路由:一个表单路由,一个接受表单的路由。

// 表单页
Route::get('form', function () {
    return view('form');
});

// 接受表单请求
Route::any('getform', function () {
    return \Illuminate\Support\Facades\Request::method();
});
登录后复制

刚开始,我们弄一个最简单的get请求表单,内容如下:

<form method="get" action="/getform">
    <input type="submit" value="sub" />
</form>
登录后复制

点击提交按钮后,浏览器出现'GET',表示get请求成功发送并被接受。

CSRF保护

然后,我们换成post方法,然后刷新点击提交按钮,看会出现设么情况。你会发现出现“page expired”,状态码为419的错误。laravel为什么接受不了post请求?这里就要引出laravel的默认CSRF保护机制了。

laravel为了防止被跨站请求伪造攻击,提供了CSRF令牌保护,所以,除了get方法请求外的所有方法,读需要在表单里加上CSRF令牌,如下:

<input type="hidden" name="_token" value="{{csrf_token()}}">
登录后复制

它还有一种简写方法,如下:

@csrf
登录后复制

关闭CSRF保护功能

一般不建议关闭整站CSRF功能,想要关闭非常简单,只需将Kernel.php文件中的

\App\Http\Middleware\VerifyCsrfToken::class
登录后复制

这行注释即可。

CSRF 白名单

经常我们需要设置一组不需要CSRF保护的URL,比如对第三方提供的API接口,我们希望所有对外的API接口都不需要CSRF保护。那么,可以通过CSRF白名单的功能,设置白名单在app/Http/Middleware/VerifyCsrfToken.php文件操作。如下:

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        /* 这里是白名单列表 */
        &#39;http://example.com/api/*&#39;,
        &#39;api/*&#39;,
        &#39;a/b/*&#39;
    ];
}
登录后复制

注意:为方便测试,当测试环境时,csrf功能会自动关闭

表单伪造

学完了CSRF保护机制后,我们来看看如何进行表单伪造。想要伪造表单也非常的简单,只需要在表单里添加

<input type="hidden" name="_method" value="PUT">
登录后复制

或简写成

@method(&#39;PUT&#39;)
登录后复制

下面是一个伪造put请求的表单

@csrf @method(&#39;PUT&#39;)
登录后复制

以上是laravel的表单伪造与CSRF保护的详细内容。更多信息请关注PHP中文网其他相关文章!

本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

Video Face Swap

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

在Laravel中如何获取邮件发送失败时的退信代码? 在Laravel中如何获取邮件发送失败时的退信代码? Apr 01, 2025 pm 02:45 PM

Laravel邮件发送失败时的退信代码获取方法在使用Laravel开发应用时,经常会遇到需要发送验证码的情况。而在实�...

Laravel计划任务不执行:schedule:run命令后任务未运行怎么办? Laravel计划任务不执行:schedule:run命令后任务未运行怎么办? Mar 31, 2025 pm 11:24 PM

Laravel计划任务运行无响应排查在使用Laravel的计划任务调度时,不少开发者会遇到这样的问题:schedule:run...

在 Laravel 中,如何处理邮件发送验证码失败的情况? 在 Laravel 中,如何处理邮件发送验证码失败的情况? Mar 31, 2025 pm 11:48 PM

Laravel邮件发送验证码失败时的处理方法在使用Laravel...

在dcat admin中如何实现点击添加数据的自定义表格功能? 在dcat admin中如何实现点击添加数据的自定义表格功能? Apr 01, 2025 am 07:09 AM

在dcatadmin(laravel-admin)中如何实现自定义点击添加数据的表格功能在使用dcat...

Laravel - 转储服务器 Laravel - 转储服务器 Aug 27, 2024 am 10:51 AM

Laravel - 转储服务器 - Laravel 转储服务器随 Laravel 5.7 版本一起提供。以前的版本不包括任何转储服务器。转储服务器将成为 laravel/laravel Composer 文件中的开发依赖项。

Laravel Redis连接共享:为何select方法会影响其他连接? Laravel Redis连接共享:为何select方法会影响其他连接? Apr 01, 2025 am 07:45 AM

Laravel框架中Redis连接的共享与select方法的影响在使用Laravel框架和Redis时,开发者可能会遇到一个问题:通过配置...

Laravel多租户扩展stancl/tenancy:如何自定义租户数据库连接的主机地址? Laravel多租户扩展stancl/tenancy:如何自定义租户数据库连接的主机地址? Apr 01, 2025 am 09:09 AM

在Laravel多租户扩展包stancl/tenancy中自定义租户数据库连接使用Laravel多租户扩展包stancl/tenancy构建多租户应用时,...

Laravel - 操作 URL Laravel - 操作 URL Aug 27, 2024 am 10:51 AM

Laravel - Action URL - Laravel 5.7 引入了一项名为“可调用操作 URL”的新功能。此功能类似于 Laravel 5.6 中的功能,即在操作方法中接受字符串。 Laravel 5.7 引入新语法的主要目的是直接

See all articles