Laravel CSRF保护
CSRF指的是跨网站伪造攻击网络应用程序。CSRF攻击是系统的经过身份验证的用户执行的未经授权的活动。因此,许多Web应用程序都容易受到这些攻击。
Laravel以下列方式提供CSRF保护 -
Laravel包含一个内置的CSRF插件,可为每个活动用户会话生成令牌。这些令牌会验证操作或请求是否由有关的已验证用户发送。
履行
本节详细讨论了在Laravel中实施CSRF保护。在继续进行CSRF保护之前,以下几点值得注意 -
- CSRF在Web应用程序中声明的HTML表单中实现。您必须在表单中包含隐藏的经过验证的CSRF令牌,以便Laravel的CSRF保护中间件可以验证请求。语法如下所示 -
<form method = "POST" action="/profile"> {{ csrf_field() }} ... </form>
- 您可以使用JavaScript HTTP库方便地构建JavaScript驱动的应用程序,因为这包括CSRF令牌给每个传出的请求。
- 文件 resources / assets / js / bootstrap.js 注册了Laravel应用程序的所有标记,并包含 meta 标记,它存储了带有 Axios HTTP库的 csrf标记 。 **
没有CSRF令牌的表单
考虑以下几行代码。他们展示了一个表单,它以两个参数作为输入: 电子邮件 和 消息 。
<form> <label> Email </label> <input type = "text" name = "email"/> <br/> <label> Message </label> <input type="text" name = "message"/> <input type = ”submit” name = ”submitButton” value = ”submit”> </form>
上述代码的结果如下所示 -
上面显示的表格将接受来自授权用户的任何输入信息。这可能会使Web应用程序容易受到各种攻击。
请注意,提交按钮包含控制器部分的功能。所述 后接触 功能在控制器为该关联视图使用。如下所示 -
public function postContact(Request $request){ return $request-> all(); }
请注意,表单不包含任何CSRF令牌,因此作为输入参数共享的敏感信息容易受到各种攻击。
带有CSRF令牌的表单
以下几行代码向您展示了使用CSRF令牌重新设计的表单 -
<form method = ”post” > {{ csrf_field() }} <label> Email </label> <input type = "text" name = "email"/> <br/> <label> Message </label> <input type = "text" name = "message"/> <input type = ”submit” name = ”submitButton” value = ”submit”> </form>
实现的输出将返回带有如下所示令牌的JSON -
{ "token": "ghfleifxDSUYEW9WE67877CXNVFJKL", "name": "CodingDict", "email": "contact@CodingDict.com" }
这是单击“提交”按钮时创建的CSRF标记。
认证是识别用户凭证的过程。在Web应用程序中,身份验证由会话进行管理,会话采用输入参数(例如电子邮件或用户名和密码)进行用户标识。如果这些参数匹配,则说该用户被认证。本章向您介绍Laravel Web应用程序中的身份验 ...