laravel篇之CSRF

我会带着你远行 2022-03-27 10:54 1247阅读 0赞

一、CSRF攻击  
1、什么是CSRF攻击  
CSRF是跨站请求伪造（Cross-site request forgery）的英文缩写，

原理图示：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70][]

csrf在laravel框架中的使用，就是在客户端form表单中设置一个\_token表单域

同时把该表单域的值记录给session，提交表单给服务器后，服务器判断form表单中的\_token与session中的\_token是否一致，一致就进行正常的后续处理，否则该表单非法并舍弃之。

Laravel提供了一个全局帮助函数csrf\_token来获取该Token值，因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token：

<input type="hidden" name="\_token" value="<?php echo csrf\_token(); ?>">  
执行route/web.php路由的请求，只要请求方式为post/put/patch，都会执行csrf验证，如果有哪个路由请求不要经过csrf校验，就把该请求地址设置给VerifyCsrfToken 中间件

执行route/web.php路由的请求，只要请求方式为post/put/patch，都会执行csrf验证，如果有哪个路由请求不要经过csrf校验，就把该请求地址设置给VerifyCsrfToken 中间件

class VerifyCsrfToken extends BaseVerifier
    {
        /**
         *从CSRF验证中排除的URL
         * @var array
         */
        protected $except = [
            'stripe/*',
        ];
    }

2、CSRF案例  
注意：在 laravel中，默认情况下POST请求的路由都必须要通过令牌验证的，也就是在post请求的表单中，都必须携带\_token的。

（1）定义一个路由

//展示表单的路由

Route::get('register','DemoController@register');

//接收表单的路由

Route::post('registerok','DemoController@registerok');

（2）根据路由，新建一个DemoConotroller的控制器，并添加如上两个方法![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 1][]

（3）建立一个register对应的视图文件

![20181031215146113.png][]

视图文件的内容如下；![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 2][]

4）为了防止跨域提交表单，需要在表单里面，添加一个生成令牌的标签。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 3][]

解析效果如下；

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 4][]

注意：如果在表单里面，没有令牌（秘钥）post提交时，报如下错误。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 5][]

要注意：\{ \{csrf\_field()\}\}和\{ \{csrf\_token()\}\}的区别

\{ \{csrf\_field()\}\}直接生成

\{ \{csrf\_token()\}\}直接生成令牌字符串。

3、从CSRF验证中排除指定URL  
可以设置哪些post请求的路由，不需要令牌验证。

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。

可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：  
![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 6][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70]: /images/20220327/a447536553bb446794b5cabdc15e1e67.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 1]: /images/20220327/9a3ad8fb3e674cecb061eea0077d47d4.png
[20181031215146113.png]: /images/20220327/6c31880fbc8d4a7f86955719bdeab67b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 2]: /images/20220327/131661b31b2e4ef8bc737e1ba4198a40.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 3]: /images/20220327/5b4ac632242e4e449885a16732b43fec.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 4]: /images/20220327/68bb8c03467f486ca117e670c528b256.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 5]: /images/20220327/f77a07b9519c4f7f9fa413c264ddc179.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 6]: /images/20220327/8b6afd872b964a049f99fa2c0beef322.png