2. 程式人生 > >laravel CSRF 保護

laravel CSRF 保護

阿新 發佈:2019-01-17
asc push -c form 邏輯 ros rap 存儲 請求方式

在開始之前讓我們來實現上述表單訪問偽造的完整示例,為簡單起見,我們在路由閉包中實現所有業務代碼:

Route::get(‘task/{id}/delete‘, function ($id) {
    return ‘<form method="post" action="‘ . route(‘task.delete‘, [$id]) . ‘">
                <input type="hidden" name="_method" value="DELETE"> 
                <button type="submit">刪除任務</button>
            </form>‘;
});

Route::delete(‘task/{id}‘, function ($id) {
    return ‘Delete Task ‘ . $id;
})->name(‘task.delete‘);

http://blog.test/task/1/delete 點擊「刪除任務」按鈕提交表單,會顯示 419 異常頁面:

技術分享圖片

初學者可能會困惑,這是什麽原因呢?

不得不說,Laravel 5.7 引入的錯誤提示頁面雖然好看,但是錯誤提示信息太少,這其實是因為默認情況下,為了安全考慮,Laravel 期望所有路由都是「只讀」操作的(對應請求方式是 GET、HEAD、OPTIONS),如果路由執行的是「寫入」操作(對應請求方式是 POST、PUT、PATCH、DELETE),則需要傳入一個隱藏的 Token 字段(_token)以避免[跨站請求偽造攻擊](CSRF)。在我們上面的示例中,請求方式是 DELETE,但是並沒有傳遞 _token

字段,所以會出現異常。

註:跨站請求偽造是一種通過偽裝授權用戶的請求來攻擊授信網站的惡意漏洞,關於跨站請求偽造攻擊可以參考維基百科了解明細:https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0。

避免跨站請求偽造攻擊的措施就是對寫入操作采用非 GET 方式請求,同時在請求數據中添加校驗 Token 字段,Laravel 也是這麽做的,這個 Token 值會在渲染表單頁面時通過 Session 生成,然後傳入頁面,在每次提交表單時帶上這個 Token 值即可實現安全寫入,因為第三方站點是不可能拿到這個 Token 值的,所以由第三方站點提交的請求會被拒絕,從而避免 CSRF 攻擊。

在 Laravel 中,和表單方法偽造一樣,支持通過 HTML 表單隱藏字段傳遞這個值:

Route::get(‘task/{id}/delete‘, function ($id) {
    return ‘<form method="post" action="‘ . route(‘task.delete‘, [$id]) . ‘">
                <input type="hidden" name="_method" value="DELETE"> 
                <input type="hidden" name="_token" value="‘ . csrf_token() . ‘">
                <button type="submit">刪除任務</button>
            </form>‘;
});

這樣我們再次訪問 http://blog.test/task/1/delete 頁面點擊「刪除任務」按鈕,即可成功提交表單。

當然,如果你是在 JavaScript 腳本中執行 HTTP 請求,也可以很方便的傳遞這個 Token 值執行寫入操作,首先需要在 HTML <head> 標簽內新增一個 <meta> 元素來存儲 Token 值:

<meta name="csrf-token" content="<?php echo csrf_token(); ?>" id="csrf-token">

然後我們在 JavaScript 腳本中將這個 Token 值放到一個全局請求頭設置中,以便每個 HTTP 請求都會帶上這個頭信息,避免每次發起請求都要添加這個字段。如果你使用的是 jQuery 的話,可以這麽做:

$.ajaxSetup({
    headers: {
        ‘X-CSRF-TOKEN‘: $(‘meta[name="csrf-token"]‘).attr(‘content‘)
    } 
});

如果你使用的是 Vue 的話,可以這麽做:

Vue.http.interceptors.push((request, next) => {
    request.headers[‘X-CSRF-TOKEN‘] = document.querySelector(‘#csrf-token‘).getAttribute(‘content‘);
    next();
});

Laravel 會在每次請求都檢查請求頭中是否包含 X-CSRF-TOKEN,並檢查其值是否和 Session 中的 Token 值是否一致。

註:如果你使用了 Laravel 自帶的 assets/js/bootstrap.js, 則上述 Vue 請求頭設置不需要自己編寫,因為 bootstrap.js 中已經包含了這個邏輯。

laravel CSRF 保護

相關推薦

laravel csrf保護

CI 如何 post請求 lar 需要 acad 我們 模擬 白名單 有時候我們的項目需要和外部的項目進行接口對接,如果是post的方式請求;laravel要求csrf保護 但是別人是ci框架或者沒有csrf_token的;該如何處理呢? 可以把我們不需要csrf的url加

laravel CSRF 保護

asc push -c form 邏輯 ros rap 存儲 請求方式 在開始之前讓我們來實現上述表單訪問偽造的完整示例,為簡單起見,我們在路由閉包中實現所有業務代碼: Route::get(‘task/{id}/delete‘, function ($id) {

Laravel 5.3+ 如何定義API路徑(取消CSRF保護

從Laravel 5.3+開始,API路徑被放入了routes/api.php中。我們絕大多數的路徑其實都會在web.php中定義,因為在web.php中定義的路徑預設有CSRF保護,而API路徑預設沒有CSRF保護。在Laravel官網文件中寫到: Any HTML forms poi

[PHP] - Laravel - CSRF token禁用方法

method inpu .cn -s frame 瀏覽器 php public () 前文 CSRF攻擊和漏洞的參考文章: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html Laravel默認是

Django 的 CSRF 保護機制

ken 渲染 _for ID 一個 RF oss RM ext 用 django 有多久,我跟 csrf 這個概念打交道就有久了。 每次初始化一個項目時都能看到 django.middleware.csrf.CsrfViewMiddleware 這個中間件 每次在模板裏寫

flask中CSRF保護機制

如果是傳送from表單, 則使用原來的隱藏表單的形式(生成&派發令牌) <form method="post" action="/"> <input type="hidden" name="csrf_token" value="

Flask實現CSRF保護

  參考官方文件  CSRF跨站請求偽造,源於WEB的隱式身份驗證機制,WEB的身份驗證機制雖然可以抱著一個請求時來自於某個使用者的瀏覽器,但卻無法保證該請求是使用者批准傳送的。  例如,使用者登入受信任的網址A,在本地生成了Cookie,在Cookie沒有失效的情況下去

laravel csrf排除路由,禁止,關閉指定路由

百度了下,發現別的教程裡需要更改檔案,實際上很簡單,官方提供了介面可以用來設定; laravel的csrf防範是通過app/http/Middleware目錄下的中介軟體VerifyCsrfToken.php來生效的,如下所示在官方的程式碼 有個屬性$except,可以專門

flask csrf保護的使用技巧

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack”或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。 ——百度百科 網上關於csrf攻擊的一

rails中的csrf保護

def verify_authenticity_token unless verified_request? logger.warn "WARNING: Can't verify CSRF token authenticity" if logger handle_unverified_re

CSRF保護和驗證

什麼是CSRF? CSRF(Cross-site request forgery)跨站請求偽造,也被稱為“One Click Attack“或者Session Riding,通常縮寫為CSRF或XSRF,是一種對網站的惡意攻擊。是一種依賴web瀏覽器的、被混淆過

laravel 關閉 csrf 驗證

kernel alt bubuko csrf laravel 技術分享 span 驗證 分享 csrf驗證失敗 註釋掉kernel.php 的 csrf 行代碼 laravel 關閉 csrf 驗證

Laravel ajax請求419錯誤及解決辦法(CSRF驗證) 阿星小棧

detail meta csdn div content pre bsp setup rip ajax請求報419 unknown status 解決辦法1:將這個接口放到api路由上,這樣可以跳過CSRF的檢查 解決辦法2: 1.在頁面上添加 <meta nam

spring實戰-Spring-security自定義登入登出、防csrf攻擊及檢視保護

第十篇:Spring-security自定義登入登出、防csrf攻擊及檢視保護 這是Spring及SpringMVC的最後一篇,本次主要演示SpringSecurity更使用的示例,如自定義的登入頁面,系統登出,防止CSRF跨站攻擊,以及檢視保護檢視保護可以定義到按鈕級別的許可權 先看自

CSRF的攻擊和保護

CSRF全拼為: Cross Site Request Forgery 跨站請求偽造 CSRF指攻擊者盜用了你的身份,以你的名義發出惡意請求。 CSRF攻擊示意圖: 1. 使用者瀏覽並登陸了正常網站A。 2.通過使用者登入驗證,同時在使用者處產生了A的Cookie。 3.使用

laravel Ajax 提交資料 需要驗證csrf 新增一下程式碼

1 .在頁面頭部加上csrf-token: <meta name="csrf-token" content="{{ csrf_token() }}"> 2 . 提交headers中增加 X-CSRF-TOKEN: $.ajaxSetup({ headers: { 'X-CSRF-T

Laravel 5.5 CSRF

CSRF // CSRF(跨站請求偽造)是一種通過偽裝授權使用者的請求來攻擊授信網站的惡意漏洞。 {{ csrf_field() }} <input type="hidden" name="_token" value="{{ csrf_token() }}"> {{ meth

前後端分離,解決跨域問題及django的csrf跨站請求保護 ajax 跨域 headers JavaScript ajax 跨域請求 +設定headers 實踐

1. 前後端分離解決跨域問題 解決跨域呼叫服務並設定headers 主要的解決方法需要通過伺服器端設定響應頭、正確響應options請求,正確設定 JavaScript端需要設定的headers資訊 方能實現; 關於跨域,前端會先發送OPTIONS請求,進行預檢,檢查後端是否允許前端設定的相應的請求頭,請

【10.15總結】繞過CSRF的Referer保護

今天下午可能要出遠門,所以現在就把總結寫好了。 這個CSRF漏洞存在於IBM的修改郵箱頁面,修改郵箱的地址是 https://www.ibm.com/ibmweb/myibm/account/sendmail?locale=us-en&email=NEW_EMAIL 所以理論上講,只要修改上面

Django 中 csrf保護機制

什麼是 CSRF CSRF, Cross Site Request Forgery, 跨站點偽造請求。舉例來講,某個惡意的網站上有一個指向你的網站的連結,如果 某個使用者已經登入到你的網站上了,那麼當這個使用者點選這個惡意網站上的那個連結時,就會向你的網站發來一