CSRF 是指針對 Web 應(yīng)用程式的跨站偽造攻擊。 CSRF 攻擊是由系統(tǒng)經(jīng)過驗證的使用者執(zhí)行的未經(jīng)授權(quán)的活動。因此，許多 Web 應(yīng)用程式很容易受到這些攻擊。

Laravel 透過以下方式提供 CSRF 保護(hù) -

Laravel 包含一個內(nèi)建的 CSRF 插件，可為每個活動使用者會話產(chǎn)生令牌。這些令牌驗證操作或請求是否由相關(guān)的經(jīng)過身份驗證的使用者發(fā)送。

實作

本節(jié)詳細(xì)討論 Laravel 中 CSRF 保護(hù)的實作。在進(jìn)一步進(jìn)行 CSRF 保護(hù)之前，請注意以下幾點 -

• CSRF 是在 Web 應(yīng)用程式內(nèi)聲明的 HTML 表單中實現(xiàn)的。您必須在表單中包含隱藏的經(jīng)過驗證的 CSRF 令牌，以便 Laravel 的 CSRF 保護(hù)中介軟體可以驗證請求。文法如下圖 -

<form method = "POST" action="/profile">
   {{ csrf_field() }}
   ...
</form>

• 您可以使用 JavaScript HTTP 程式庫方便地建立 JavaScript 驅(qū)動的應(yīng)用程序，因為這包括每個傳出請求的 CSRF 令牌。

• 檔案即resources/assets/js/bootstrap.js註冊了所有Laravel 應(yīng)用程式的令牌，並包含 meta 標(biāo)籤，該標(biāo)籤儲存 csrf-tokenmeta 標(biāo)籤，該標(biāo)籤儲存 csrf-token

沒有 CSRF 令牌的表單

考慮以下程式碼行。它們顯示了一個表單，該表單接受兩個參數(shù)作為輸入：email和message

<form>
   <label> Email </label>
      <input type = "text" name = "email"/>
      <br/>
   <label> Message </label> <input type="text" name = "message"/>
   <input type = ”submit” name = ”submitButton” value = ”submit”>
</form>

上述程式碼的結(jié)果是最終使用者可以查看的如下所示的表單 -

上面顯示的表單將接受來自授權(quán)使用者的任何輸入資訊。這可能會使 Web 應(yīng)用程式容易受到各種攻擊。

請注意，提交按鈕包含控制器部分中的功能。 postContact

函數(shù)在關(guān)聯(lián)視圖的控制器中使用。如下圖 -

public function postContact(Request $request) {
   return $request-> all();
}

請注意，該表單不包含任何 CSRF 令牌，因此作為輸入?yún)?shù)共享的敏感資訊很容易受到各種攻擊。

帶有 CSRF 令牌的表單

以下程式碼行向您展示了使用 CSRF 令牌重新設(shè)計的表單?

<form method = ”post” >
   {{ csrf_field() }}
   <label> Email </label>
   <input type = "text" name = "email"/>
   <br/>
   <label> Message </label>
   <input type = "text" name = "message"/>
   <input type = ”submit” name = ”submitButton” value = ”submit”>
</form>

實現(xiàn)的輸出將傳回帶有令牌的 JSON，如下所示 -

{
   "token": "ghfleifxDSUYEW9WE67877CXNVFJKL",
   "name": "TutorialsPoint",
   "email": "contact@tutorialspoint.com"
}

這是點擊提交按鈕時所建立的 CSRF 令牌。 ??

以上是Laravel - CSRF 保護(hù)的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！