一、CSRF攻击
1、什么是CSRF攻击
CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写,
原理图示:
csrf在laravel框架中的使用,就是在客户端form表单中设置一个_token表单域
同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进行正常的后续处理,否则该表单非法并舍弃之。
Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:
执行route/web.php路由的请求,只要请求方式为post/put/patch,都会执行csrf验证,如果有哪个路由请求不要经过csrf校验,就把该请求地址设置给VerifyCsrfToken 中间件<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
执行route/web.php路由的请求,只要请求方式为post/put/patch,都会执行csrf验证,如果有哪个路由请求不要经过csrf校验,就把该请求地址设置给VerifyCsrfToken 中间件
class VerifyCsrfToken extends BaseVerifier
{
/**
*从CSRF验证中排除的URL
* @var array
*/
protected $except = [
'stripe/*',
];
}
2、CSRF案例
注意:在 laravel中,默认情况下POST请求的路由都必须要通过令牌验证的,也就是在post请求的表单中,都必须携带_token的。
(1)定义一个路由
//展示表单的路由
Route::get(‘register’,‘DemoController@register’);
//接收表单的路由
Route::post(‘registerok’,‘DemoController@registerok’);
(2)根据路由,新建一个DemoConotroller的控制器,并添加如上两个方法
(3)建立一个register对应的视图文件
视图文件内容如下:
4)为了防止跨域提交表单,需要在表单里面,添加一个生成令牌的标签。
解析效果如下图:
在使用post方式提交数据时,如果没有token令牌,会报错 419 或者如下图:
要注意:{{csrf_field()}}和{{csrf_token()}}的区别
{{csrf_field()}}直接生成
{{csrf_token()}}直接生成令牌字符串。
3、从CSRF验证中排除指定URL
可以设置哪些post请求的路由,不需要令牌验证。
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中: