CSRF攻擊原理及其防護

1、CSRF攻擊是what？
CSRF是跨站請求偽造（Cross-site request forgery）的英文縮寫。具體瞭解請自行百度。

2、Laravel中如何避免CSRF攻擊
Laravel自動為每個使用者Session生成了一個CSRF Token，該Token可用於驗證登入使用者和發起請求者是否是同一人，如果不是則請求失敗。

Laravel提供了一個全域性幫助函式csrf_token（本地存放在D:\www\laravel5.1\vendor\laravel\framework\src\Illuminate\Foundation\helpers.php）來獲取該Token值，因此只需在視提交圖表單中新增如下HTML程式碼即可在請求中帶上Token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

該段程式碼等同於全域性幫助函式csrf_field的輸出：

<?php echo csrf_field(); ?>

在Blade模板引擎中還可以使用如下方式呼叫：

{!! csrf_field() !!}

測試程式碼

我們在routes.php中定義如下程式碼：

Route::get('testCsrf',function(){
    $csrf_field = csrf_field();
    $html = <<<GET
        <form method="POST"
 
 action="/testCsrf">
            {$csrf_field}
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

Route::post('testCsrf',function(){
    return 'Success!';
});

Success！

則表示請求成功，否則，如果我們定義GET路由如下：

Route::get('testCsrf',function(){
    $html = <<<GET
        <form method="POST"
 
 action="/testCsrf">
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

則點選“Test”按鈕，則丟擲TokenMismatchException異常。

並不是所有請求都需要避免CSRF攻擊，比如去第三方API獲取資料的請求。如何避開驗證，如上述程式碼，如何讓其不通過CSRF驗證。Laravel的CSRF可以在中介軟體（app/Http/Middleware/VerifyCsrfToken.php）的$except陣列中加入需要排除驗證的URL。

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定從 CSRF 驗證中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }

3、X-CSRF-Token及其使用
如果使用Ajax提交POST表單，又該如何處理呢？我們可以將Token設定在meta中：

<meta name="csrf-token" content="{{ csrf_token() }}">

然後在全域性Ajax中使用這種方式設定X-CSRF-Token請求頭並提交：

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

Laravel的VerifyCsrfToken中介軟體會檢查X-CSRF-TOKEN請求頭，如果該值和Session中CSRF值相等則驗證通過，否則不通過。

4、Laravel中CSRF驗證原始碼分析
1）首先Laravel開啟Session時會生成一個token值並存放在Session中（Illuminate\Session\Store.php第90行start方法），對應原始碼如下：

public function start()
{
    // 讀取session
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }
    return $this->started = true;
}

2）然後重點分析VerifyToken中介軟體的handle方法，該方法中先通過isReading方法判斷請求方式，如果請求方法是HEAD、GET、OPTIONS其中一種，則不做CSRF驗證；
3）再通過shouldPassThrough方法判斷請求路由是否在$excpet屬性陣列中進行了排除，如果做了排除也不做驗證；
4）最後通過tokensMatch方法判斷請求引數中的CSRF TOKEN值和Session中的Token值是否相等，如果相等則通過驗證，否則丟擲TokenMismatchException異常。

對應原始碼如下：

public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }
    throw new TokenMismatchException;
}

注：tokensMatch方法首先從Request中獲取_token引數值，如果請求中不包含該引數則獲取X-CSRF-TOKEN請求頭的值，如果該請求頭也不存在則獲取X-XSRF-TOKEN請求頭的值，需要注意的是X-XSRF-TOKEN請求頭的值需要呼叫Encrypter的decrypt方法進行解密。