CSRF -Angriffe sollen den Benutzer verwenden, um nicht autorisierte Vorg?nge auszuführen. Laravel verwendet die Middleware VerifyCSrftoken -Verteidigung, um die Rechtm??igkeit von Anforderungen mithilfe von Form Hidden Fields_Token zu überprüfen. 1. AJAX-Anfragen müssen XSRF-Token im Header tragen; 2. CSRF ist standardm??ig durch API -Routing aktiviert. Middleware muss manuell hinzugefügt werden. 3. Caching -Seiten k?nnen dazu führen, dass Token repariert werden. Daher sollten Sie Cache -Seiten, die Form oder dynamische Belastung von Token enthalten, vermeiden. Das Ausschalten von CSRF eignet sich für Szenarien wie staatenlose APIs und die Verwendung von OAuth/JWT -Authentifizierung, andere Sicherheitsmechanismen müssen jedoch zuverl?ssig sein.

CSRF-Angriffe (Cross-Site-Anfrage) sind eine h?ufige Sicherheitsanf?lligkeit, bei der Angreifer b?swillige Anfragen an authentifizierte Anwendungen senden, indem sie als Benutzer masturbieren. In Laravel bietet das Framework selbst einen vollst?ndigen Satz von Mechanismen, um solche Angriffe zu verhindern. Wenn Sie jedoch nicht verstehen, wie es funktioniert oder nicht ordnungsgem?? verwendet wird, kann es immer noch verborgene Gefahren hinterlassen.

Was ist ein CSRF -Angriff?

Einfach ausgedrückt, verwendet CSRF die Identit?t des Benutzers, die bereits angemeldet ist und bestimmte Operationen ohne das Wissen des Benutzers ausführt. Wenn Sie sich beispielsweise auf der Bank -Website bei Ihrem Konto anmelden und dann eine b?swillige Website besuchen, wird die Website automatisch eine übertragungsanforderung initiiert. Wenn die Bank keine Vorsichtsma?nahmen hat, kann sie f?lschlicherweise glauben, dass es sich um Ihre eigene Operation handelte.

Der Grund, warum dieser Angriff erfolgreich ist, ist, dass der Browser Ihnen automatisch Cookies auf die Zielwebsite bringt und der Server nicht bestimmen kann, ob die Anfrage von Ihnen stammt, die sie initiiert haben.

Wie verteidigt Laravel gegen CSRF?

Laravel erm?glicht standardm??ig den CSRF -Schutzmechanismus, der haupts?chlich über die Middleware VerifyCsrfToken implementiert wird. Seine Kernlogik lautet:

• Fügen Sie jedem Formular ein verstecktes _token hinzu, bei dem es sich um einen vom Server generierten zuf?lligen Wert handelt und an die aktuelle Sitzung gebunden ist.
• Laravel wird überprüfen, ob das Token jedes Mal legal ist, wenn ein Beitrag, ein Put, Patch oder eine Anfrage eingereicht wird.
• Wenn das Token nicht übereinstimmt oder fehlt, wird eine TokenmisMatchException -Ausnahme ausgel?st.

Darüber hinaus stellt Laravel auch die @csrf Blade-Direktive zur Verfügung, mit der das Token-Feld bequem eingesetzt werden kann, das für die Verwendung in allen Nicht-Get-Formularen empfohlen wird.

Welche Situationen lassen sich leicht übersehen?

Obwohl Laravel viel Schutz geschafft hat, sind die folgenden Punkte in der tats?chlichen Entwicklung anf?llig für Probleme:

• Die AJAX-Anfrage tr?gt keine Token : Standardm??ig verlangt Laravel AJAX-Anfragen, XSRF-Tokens in den Header zu bringen. Sie k?nnen es automatisch verarbeiten, indem Sie Meta -Tags zur Seite hinzufügen und Bibliotheken wie Axios verwenden:

   <meta name = "csrf-token" content = "{{csrf_token ()}}">

  Dann einstellen:

   $ .ajaxSetup ({{
      Header: {
          'X-csrf-token': $ ('meta [name = "csrf-token"]'). Attr ('Inhalt')
      }
  });

• API -Routing -Bypass -CSRF -überprüfung : Wenn Sie die Routing -Datei api.php -Datei verwenden, wird die web Middleware -Gruppe standardm??ig nicht übergeben, und die CSRF -überprüfung wird nicht aktiviert. Wenn Sie m?chten, dass die API-Schnittstelle einen Sitzungsbasis-CSRF-Schutz unterstützt, müssen Sie verwandte Middleware manuell hinzufügen.

• Caching Pages führt zu einer Token -Fixierung : Wenn Sie die Seite mit CSRF -Token zwischenspeichern, werden mehrere Benutzer dieselbe Token erhalten, was zu Sicherheitsrisiken führen kann. Vermeiden Sie daher zwischengespeicherte Seiten, die Formulare enthalten, oder verwenden Sie dynamisch beladene Token.

Wann kann CSRF ausgeschaltet werden?

In einigen Szenarien ist der CSRF -Schutz tats?chlich nicht erforderlich, wie z. B.:

• Erstellen Sie eine staatenlose API (z. B. für Mobilger?te)
• Verwenden Sie den OAuth- oder JWT -Authentifizierungsmechanismus
• Alle Anfragen werden durch tokenbasierte Basis verifiziert

Zu diesem Zeitpunkt k?nnen Sie die Route aus der web Middleware -Gruppe verschieben oder bestimmte Routen direkt von der VerifyCsrfToken Middleware ausschlie?en.

Sobald Sie sich jedoch entschieden haben, CSRF auszuschalten, stellen Sie sicher, dass Sie bereits über andere sicherere Authentifizierungsmechanismen verfügen, um sie zu ersetzen.

Grunds?tzlich ist das.

Das obige ist der detaillierte Inhalt vonCSRF -Angriffe in Laravel verstehen und verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!