csrf攻击在laravel中如何解决

这篇文章主要介绍“csrf攻击在laravel中如何解决”的相关知识，小编通过实际案例向大家展示操作过程，操作方法简单快捷，实用性强，希望这篇“csrf攻击在laravel中如何解决”文章能帮助大家解决问题。

解决方法：1、利用Laravel自动为每个用户Session生成了一个“CSRF Token”，该Token可用于验证登录用户和发起请求者是否是同一人，如不是则请求失败；2、提供了一个全局帮助函数“csrf_token”来获取Token值，只需在视图提交表单中添加token代码即可，语法为“<...value= PHP="" echo="">”。

本文操作环境：windows10系统、Laravel9版、Dell G3电脑。

csrf攻击在laravel中的解决方法

CSRF是跨站请求伪装（Cross-site request forgery）的英文缩写；

Laravel框架中避免CSRF攻击很简单：

Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如不是则请求失败。（原理和验证码是一致的。）

Laravel提供了一个全局帮助函数csrf_token来获取Token值，因此只需在视图提交表单中添加如下html代码即可在请求中带上Token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

Laravel中如何避免CSRF攻击

案例：通过案例实现csrf的机制验证
1、创建两个路由，一个用于展示表单（get），另外处理请求（post）

Route::get('test6','Home\TestController@test6');Route::post('test7','Home\TestController@test7');

创建需要的方法

 public function test6(){        return view('home.test.test6');     }     public function test7()     {         return "请求提交成功";     }

创建需要的简易表单

提交效果（报错页面）

结论：通过刚才的案例，说明在laravel中csrf验证机制默认是开启的。

解决报错问题（如何通过csrf验证）
解决思路：带上csrf需要token值，随着请求传递给后续的方法

<fORM action="/home/test/test7" method="post">    用户名:<input type="text" name="username"><br>    <input type="hidden" name="_token" value="{{csrf_token()}}">    {{csrf_field()}}    <input type="submit" value="提交"></form>

针对csrf_token方法的简化：{{csrf_field()}}

两者的区别：
Csrf_token只是输出token的值
Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择：大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的，必须需要使用csrf_token的，这个情况就是使用异步提交表单的方式。

从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击，比如去第三方api获取数据的请求。
可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：

通过编写配置设置例外：
单个路由排除写法

 'home.test.test6',

多个元素之间通过“,”分割，遵循数组写法。

'home.test.test6','home.test.test7'

如果需要排除全部路由使用csrf的话，则可以写成：

'*'

关于“csrf攻击在laravel中如何解决”的内容就介绍到这里了，感谢大家的阅读。如果想了解更多行业相关的知识，可以关注编程网精选频道，小编每天都会为大家更新不同的知识点。