CSRF merujuk kepada serangan Pemalsuan Rentas Tapak pada aplikasi web. Serangan CSRF ialah aktiviti yang tidak dibenarkan yang dilakukan oleh pengguna sistem yang disahkan. Oleh itu, banyak aplikasi web terdedah kepada serangan ini.
Laravel menawarkan perlindungan CSRF dengan cara berikut ?
Laravel menyertakan pemalam CSRF terbina dalam, yang menjana token untuk setiap sesi pengguna aktif. Token ini mengesahkan bahawa operasi atau permintaan dihantar oleh pengguna disahkan yang berkenaan.
Pelaksanaan
Pelaksanaan perlindungan CSRF dalam Laravel dibincangkan secara terperinci dalam bahagian ini. Perkara berikut perlu diperhatikan sebelum meneruskan dengan lebih lanjut mengenai perlindungan CSRF ?
CSRF dilaksanakan dalam borang HTML yang diisytiharkan dalam aplikasi web. Anda perlu memasukkan token CSRF yang disahkan tersembunyi dalam borang, supaya perisian tengah perlindungan CSRF Laravel boleh mengesahkan permintaan tersebut. Sintaks ditunjukkan di bawah ?
<form method = "POST" action="/profile">
{{ csrf_field() }}
...
</form>Anda boleh membina aplikasi dipacu JavaScript dengan mudah menggunakan perpustakaan HTTP JavaScript, kerana ini termasuk token CSRF untuk setiap permintaan keluar.
Fail iaitu resources/assets/js/bootstrap.js semua mendaftar token untuk aplikasi Laravel dan termasuk meta tag yang menyimpan csrf-token dengan Axios HTTP library.
Borang tanpa token CSRF
Pertimbangkan baris kod berikut. Mereka menunjukkan borang yang mengambil dua parameter sebagai input: e-mel dan mesej.
<borang><form><br/> <label> Email </label><br/> <input type = "text" name = "email"/><br/> <br/><br/> <label> Message </label> <input type="text" name = "message"/><br/> <input type = ”submit” name = ”submitButton” value = ”submit”><br/></form></borang>
Hasil kod di atas ialah borang yang ditunjukkan di bawah yang boleh dilihat oleh pengguna akhir ?
Borang yang ditunjukkan di atas akan menerima sebarang maklumat input daripada pengguna yang dibenarkan. Ini boleh menyebabkan aplikasi web terdedah kepada pelbagai serangan.
Sila ambil perhatian bahawa butang hantar termasuk fungsi dalam bahagian pengawal. Fungsi postContact digunakan dalam pengawal untuk paparan yang berkaitan itu. Ia ditunjukkan di bawah ?
public function postContact(Request $request) {
return $request-> all();
}Perhatikan bahawa borang tidak termasuk sebarang token CSRF jadi maklumat sensitif yang dikongsi sebagai parameter input terdedah kepada pelbagai serangan.
Borang dengan token CSRF
Barisan kod berikut menunjukkan kepada anda borang yang direka bentuk semula menggunakan token CSRF ?
<kaedah borang="”siaran”"><form method = ”post” ><br/> {{ csrf_field() }}<br/> <label> Email </label><br/> <input type = "text" name = "email"/><br/> <br/><br/> <label> Message </label><br/> <input type = "text" name = "message"/><br/> <input type = ”submit” name = ”submitButton” value = ”submit”><br/></form></kaedah>Output yang dicapai akan mengembalikan JSON dengan token seperti yang diberikan di bawah ?
{
"token": "ghfleixxDSUYEW9WE67877CXNVFJKL",
"name": "TutorialsPoint",
"e-mel": "contact@tutorialspoint.com"
}Ini ialah token CSRF yang dibuat dengan mengklik butang hantar.
Atas ialah kandungan terperinci Laravel - Perlindungan CSRF. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Tutorial Laravel Vue.js Single Page Application (SPA)
May 15, 2025 pm 09:54 PM
Aplikasi satu halaman (SPA) boleh dibina menggunakan Laravel dan Vue.js. 1) Tentukan penghalaan dan pengawal API di Laravel untuk memproses logik data. 2) Buat front-end komponen di Vue.js untuk merealisasikan antara muka pengguna dan interaksi data. 3) Konfigurasikan CORS dan gunakan AXIOS untuk interaksi data. 4) Gunakan vuerouter untuk melaksanakan pengurusan penghalaan dan meningkatkan pengalaman pengguna.
Bagaimana untuk menguji antara muka API Laravel?
May 22, 2025 pm 09:45 PM
Kaedah yang cekap untuk menguji antara muka API Laravel termasuk: 1) menggunakan rangka kerja ujian Laravel dan alat pihak ketiga seperti Postman atau Insomnia; 2) menulis ujian unit, ujian fungsional dan ujian integrasi; 3) Meneruskan persekitaran permintaan sebenar dan menguruskan status pangkalan data. Melalui langkah -langkah ini, kestabilan dan integriti fungsi API dapat dipastikan.
Bagaimana cara menyesuaikan logik pengesahan pengguna Laravel?
May 22, 2025 pm 09:36 PM
Logik Pengesahan Pengguna Laravel Custom boleh dilaksanakan melalui langkah -langkah berikut: 1. Tambah syarat pengesahan tambahan semasa log masuk, seperti pengesahan peti mel. 2. Buat kelas pengawal tersuai dan memperluaskan proses pengesahan. Logik pengesahan tersuai memerlukan pemahaman yang mendalam tentang sistem pengesahan Laravel dan memberi perhatian kepada keselamatan, prestasi dan penyelenggaraan.
Bagaimana Membuat Pakej Laravel (Pakej) Pembangunan?
May 29, 2025 pm 09:12 PM
Langkah -langkah untuk membuat pakej di Laravel termasuk: 1) Memahami kelebihan pakej, seperti modulariti dan penggunaan semula; 2) mengikuti penamaan Laravel dan spesifikasi struktur; 3) mewujudkan pembekal perkhidmatan menggunakan perintah artisan; 4) menerbitkan fail konfigurasi dengan betul; 5) Menguruskan kawalan versi dan penerbitan kepada Packagist; 6) melakukan ujian yang ketat; 7) menulis dokumentasi terperinci; 8) Memastikan keserasian dengan versi Laravel yang berbeza.
Integrasi Laravel dengan Login Media Sosial (OAuth)
May 22, 2025 pm 09:27 PM
Mengintegrasikan log masuk media sosial dalam rangka Laravel boleh dicapai dengan menggunakan pakej Laravelsocialite. 1. Pasang pakej sosialit: Gunakan ComposerRequirelaravel/Socialite. 2. Konfigurasi penyedia perkhidmatan dan alias: Tambah konfigurasi yang relevan dalam config/app.php. 3. Set kelayakan API: Konfigurasi kelayakan API media sosial dalam .env dan config/services.php. 4. Tulis kaedah pengawal: Tambah kaedah pengalihan dan panggilan balik untuk mengendalikan proses log masuk media sosial. 5. Mengendalikan Soalan Lazim: Pastikan keunikan pengguna, penyegerakan data, pengendalian keselamatan dan ralat. 6. Amalan Pengoptimuman:
Bagaimana melaksanakan fungsi tetapan semula kata laluan di Laravel?
May 22, 2025 pm 09:42 PM
Melaksanakan fungsi reset kata laluan di Laravel memerlukan langkah -langkah berikut: 1. Konfigurasi perkhidmatan e -mel dan tetapkan parameter yang relevan dalam fail .env; 2. Tentukan laluan tetapan semula kata laluan dalam laluan/web.php; 3. Sesuaikan templat e -mel; 4. Perhatikan masalah menghantar e -mel dan tempoh kesahihan token, dan laraskan konfigurasi jika perlu; 5. Pertimbangkan keselamatan untuk mencegah serangan kekerasan; 6. Selepas penetapan semula kata laluan berjaya, paksa pengguna untuk log keluar dari peranti lain.
Ancaman Keselamatan Biasa dan Langkah Perlindungan untuk Aplikasi Laravel
May 22, 2025 pm 09:33 PM
Ancaman keselamatan biasa dalam aplikasi Laravel termasuk suntikan SQL, serangan skrip silang tapak (XSS), pemalsuan permintaan lintas tapak (CSRF), dan kelemahan muat naik fail. Langkah -langkah perlindungan termasuk: 1. Gunakan eloquentorm dan querybuilder untuk pertanyaan parameter untuk mengelakkan suntikan SQL. 2. Sahkan dan penapis input pengguna untuk memastikan keselamatan output dan mencegah serangan XSS. 3. Tetapkan token CSRF dalam bentuk dan permintaan AJAX untuk melindungi permohonan dari serangan CSRF. 4. Sahkan dengan tegas dan proses muat naik fail untuk memastikan keselamatan fail. 5. Audit kod biasa dan ujian keselamatan dijalankan untuk menemui dan menetapkan kelemahan keselamatan yang berpotensi.
Apakah middleware di Laravel? Bagaimana menggunakannya?
May 29, 2025 pm 09:27 PM
Middleware adalah mekanisme penapisan di Laravel yang digunakan untuk memintas dan memproses permintaan HTTP. Gunakan langkah: 1. Buat middleware: Gunakan perintah "phpartisanmake: middlewarecheckrole". 2. Tentukan Logik Pemprosesan: Tulis logik khusus dalam fail yang dihasilkan. 3. Daftar middleware: Tambah middleware dalam kernel.php. 4. Gunakan middleware: Sapukan middleware dalam definisi penghalaan.
