Serangan CSRF akan menggunakan pengguna untuk melakukan operasi yang tidak dibenarkan. Laravel menggunakan middleware verifycsrftoken pertahanan untuk mengesahkan kesahihan permintaan menggunakan bentuk tersembunyi fields_token. 1. Permintaan Ajax mesti membawa XSRF-token dalam tajuk; 2. CSRF tidak didayakan oleh penghalaan API secara lalai, middleware perlu ditambah secara manual; 3. Halaman caching boleh menyebabkan token diperbaiki, jadi anda harus mengelakkan halaman cache yang mengandungi borang atau pemuatan token dinamik. Mematikan CSRF sesuai untuk senario seperti API tanpa statur dan menggunakan pengesahan OAuth/JWT, tetapi mekanisme keselamatan lain perlu dipercayai.
Serangan CSRF (pemalsuan permintaan lintas tapak) adalah kelemahan keselamatan yang sama di mana penyerang menghantar permintaan berniat jahat kepada aplikasi yang disahkan dengan melancap sebagai pengguna. Di Laravel, rangka kerja itu sendiri menyediakan satu set mekanisme lengkap untuk mencegah serangan tersebut, tetapi jika anda tidak memahami bagaimana ia berfungsi atau digunakan secara tidak wajar, ia masih boleh meninggalkan bahaya tersembunyi.

Apakah serangan CSRF?
Ringkasnya, CSRF menggunakan identiti pengguna yang sudah log masuk dan melakukan operasi tertentu tanpa pengetahuan pengguna. Sebagai contoh, jika anda log masuk ke akaun anda di laman web bank dan kemudian lawati laman web yang berniat jahat, laman web tersebut secara automatik akan memulakan permintaan pemindahan. Sekiranya bank tidak mempunyai langkah berjaga -jaga, ia mungkin tersilap percaya bahawa ia adalah operasi anda sendiri.

Sebab mengapa serangan ini berjaya adalah bahawa penyemak imbas secara automatik akan membawa anda cookies ke laman web sasaran, dan pelayan tidak dapat menentukan sama ada permintaan itu datang dari anda yang memulakannya.
Bagaimanakah Laravel mempertahankan terhadap CSRF?
Laravel membolehkan mekanisme perlindungan CSRF secara lalai, yang kebanyakannya dilaksanakan melalui middleware VerifyCsrfToken
. Logik terasnya ialah:

- Tambah
_token
tersembunyi ke setiap bentuk, yang merupakan nilai rawak yang dihasilkan oleh pelayan dan terikat pada sesi semasa. - Laravel akan mengesahkan bahawa token adalah undang -undang setiap kali jawatan, meletakkan, patch, atau memadam permintaan dihantar.
- Jika token tidak sepadan atau hilang, pengecualian TokenMismatchException akan dibuang.
Di samping itu, Laravel juga menyediakan Arahan Blade @csrf
untuk memasukkan medan token dengan mudah, yang disyorkan untuk digunakan dalam semua bentuk yang tidak dapat dipertahankan.
Situasi apa yang mudah diabaikan?
Walaupun Laravel telah melakukan banyak perlindungan, dalam perkembangan sebenar, perkara -perkara berikut terdedah kepada masalah:
-
Permintaan Ajax tidak membawa token : Secara lalai, Laravel memerlukan permintaan Ajax untuk membawa XSRF-Tokens dalam tajuk. Anda boleh mengendalikannya secara automatik dengan menambahkan tag meta ke halaman dan menggunakan perpustakaan seperti Axios:
<meta name = "csrf-token" content = "{{csrf_token ()}}">
Kemudian tetapkan:
$ .ajaxSetup ({ tajuk: { 'X-csrf-token': $ ('meta [name = "csrf-token"]'). Attr ('content') } });
Routing API memintas pengesahan CSRF : Jika anda menggunakan fail penghalaan
api.php
, ia tidak melalui kumpulan middlewareweb
secara lalai, dan pengesahan CSRF tidak akan diaktifkan. Jika anda mahu antara muka API untuk menyokong perlindungan CSRF berasaskan sesi, anda perlu menambah middleware yang berkaitan secara manual.Halaman caching membawa kepada penetapan token : Jika anda cache halaman yang mengandungi token CSRF, ia akan menyebabkan banyak pengguna mendapatkan token yang sama, yang boleh menyebabkan risiko keselamatan. Oleh itu, elakkan halaman cache yang mengandungi borang, atau gunakan token pemuatan dinamik.
Bilakah CSRF boleh dimatikan?
Dalam beberapa senario, perlindungan CSRF memang tidak diperlukan, seperti:
- Bina API tanpa statur (seperti untuk mudah alih)
- Gunakan mekanisme pengesahan OAuth atau JWT
- Semua permintaan disahkan melalui berasaskan token
Pada masa ini, anda boleh memilih untuk menggerakkan laluan keluar dari kumpulan middleware web
, atau secara langsung tidak termasuk laluan tertentu dari middleware VerifyCsrfToken
.
Walau bagaimanapun, sebaik sahaja anda memutuskan untuk mematikan CSRF, pastikan anda mempunyai mekanisme pengesahan yang lebih selamat untuk menggantikannya.
Pada dasarnya itu sahaja.
Atas ialah kandungan terperinci Memahami dan Mencegah Serangan CSRF di Laravel?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Alat AI Hot

Undress AI Tool
Gambar buka pakaian secara percuma

Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Clothoff.io
Penyingkiran pakaian AI

Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!

Artikel Panas

Alat panas

Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma

SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan

Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa

Dreamweaver CS6
Alat pembangunan web visual

SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)

Topik panas

Di Laravel, penghalaan adalah titik masuk aplikasi yang mentakrifkan logik tindak balas apabila pelanggan meminta URI tertentu. Laluan memetakan URL ke kod pemprosesan yang sepadan, yang biasanya mengandungi kaedah HTTP, URI, dan tindakan (penutupan atau kaedah pengawal). 1. Struktur Asas Definisi Laluan: Permintaan Bind menggunakan Route :: Verb ('/uri', Tindakan); 2. Menyokong pelbagai kata kerja HTTP seperti GET, POST, PUT, dan sebagainya; 3. Parameter dinamik boleh ditakrifkan melalui {param} dan data boleh diluluskan; 4. Laluan boleh dinamakan untuk menjana URL atau pengalihan; 5. Gunakan fungsi kumpulan untuk menambahkan awalan, middleware dan tetapan perkongsian yang seragam; 6. Fail penghalaan dibahagikan kepada web.php, AP mengikut tujuan mereka

Inlaravel, policiesorganizeAuthorizationLogicformodelactions.1.PoliciesareClassSesSesSelSelwithMethodsLikeView, create, Update, andDeletetHatReturnTrueorfalsebasedOnuserpermissions.2.Toregisterapolicy, Mapthemodeltoitspolicheon.

Untuk membuat rekod baru dalam pangkalan data menggunakan fasih, terdapat empat kaedah utama: 1. Gunakan kaedah membuat untuk membuat rekod dengan cepat dengan lulus dalam array atribut, seperti pengguna :: create (['name' => 'Johndoe', 'e -mel' => 'John@example.com']); 2. Gunakan kaedah simpan untuk secara manual meniru model dan menetapkan nilai untuk menyimpan satu demi satu, yang sesuai untuk senario di mana tugasan bersyarat atau logik tambahan diperlukan; 3. Gunakan FirstOrcreate untuk mencari atau membuat rekod berdasarkan keadaan carian untuk mengelakkan data pendua; 4. Gunakan UpdateOrcreate untuk mencari rekod dan kemas kini, jika tidak, buatnya, yang sesuai untuk memproses data yang diimport, dan lain -lain, yang mungkin berulang.

ThePhpartisandb: SeedCommandinlaravelisusedTopopulatethedatabasewithtestestordefaultdata.1.iteXecuteStherun () methodinseederclasslocatedin/database/seeders.2.developerscanrunallseeders, aspecifyseederusingsusing-classsoSseederusing-classsoSseederusing-baseSsifeSsoederusing-baseSsifeSsoederusing-baseedselsusing-classeedsusing-basseedselsusing-

Artisan adalah alat perintah Laravel untuk meningkatkan kecekapan pembangunan. Fungsi terasnya termasuk: 1. Menjana struktur kod, seperti pengawal, model, dan lain -lain, dan secara automatik membuat fail melalui membuat: pengawal dan arahan lain; 2. Menguruskan penghijrahan pangkalan data dan mengisi, gunakan berhijrah untuk menjalankan penghijrahan, dan DB: benih untuk mengisi data; 3. Menyokong perintah adat, seperti Make: Command Creation Command Class untuk melaksanakan enkapsulasi logik perniagaan; 4. Memberi fungsi debugging dan pengurusan alam sekitar, seperti kunci: menjana untuk menjana kunci, dan berfungsi untuk memulakan pelayan pembangunan. Kemahiran dalam menggunakan Artisan dapat meningkatkan kecekapan pembangunan Laravel dengan ketara.

Ya, youpaninstalllaravelonanyoperatingsystembyfollowingthesesteps: 1.InstallphpandrequiredextensionsLikembstring, openssl, andxmlusingtoolsLikexampponWindows, homeBrewonmacos, oraptonlarunux;

Menentukan kaedah (juga dikenali sebagai tindakan) dalam pengawal adalah untuk memberitahu aplikasi apa yang perlu dilakukan apabila seseorang melawat URL tertentu. Kaedah ini biasanya memproses permintaan, memproses data, dan mengembalikan respons seperti halaman HTML atau JSON. Memahami Struktur Asas: Kebanyakan kerangka web (seperti RubyonRails, Laravel, atau SpringMVC) menggunakan pengawal yang berkaitan dengan operasi kumpulan. Kaedah dalam setiap pengawal biasanya sesuai dengan laluan, iaitu laluan URL yang dapat diakses oleh seseorang. Sebagai contoh, mungkin terdapat kaedah berikut dalam PostSController: 1.Index () - Senarai Pos Paparan; 2.Show () - memaparkan jawatan individu; 3.Create () - Mengendalikan membuat jawatan baru; 4.U

Toruntestsinlaravelefectively, usethephpartiSanteStCommandWhichSimplifiesphpunitusage.1.setupa.env.testingfileandConfigurePhp Unit.xmltouseatestDatabaselikesqlite.2.GenerateTestFilesusingPhpartisanMake: ujian, menggunakan-Unitforunittests.3.WriteTestSwithmeth
