Les attaques CSRF visent à utiliser l'utilisateur pour effectuer des opérations non autorisées. Laravel utilise la défense Middleware Verifycsrftoken pour vérifier la légalité des demandes en utilisant Form Hidden Fields_token. 1. Les demandes AJAX doivent transporter XSRF-Token dans l'en-tête; 2. CSRF n'est pas activé par le routage API Par défaut, le middleware doit être ajouté manuellement; 3. Les pages de mise en cache peuvent provoquer des jetons à réparer, vous devez donc éviter les pages de cache contenant une forme ou un chargement dynamique de jetons. La désactivation du CSRF convient à des scénarios tels que les API sans état et l'utilisation d'authentification OAuth / JWT, mais d'autres mécanismes de sécurité doivent être fiables.
Les attaques de contrefa?on de demande CSRF (demande inter-site) sont une vulnérabilité de sécurité courante dans laquelle les attaquants envoient des demandes malveillantes aux applications authentifiées en se masturbant en tant qu'utilisateurs. Dans Laravel, le cadre lui-même fournit un ensemble complet de mécanismes pour empêcher de telles attaques, mais si vous ne comprenez pas comment il fonctionne ou est utilisé mal, il peut encore laisser des dangers cachés.
Qu'est-ce qu'une attaque CSRF?
Autrement dit, CSRF utilise l'identité de l'utilisateur qui est déjà connectée et effectue certaines opérations à l'insu de l'utilisateur. Par exemple, si vous vous connectez à votre compte sur le site Web de la banque, puis visitez un site Web malveillant, le site Web lancera automatiquement une demande de transfert. Si la banque n'a pas de précautions, elle peut croire à tort que c'était votre propre opération.
La raison pour laquelle cette attaque réussit est que le navigateur vous apportera automatiquement des cookies sur le site Web cible, et le serveur ne peut pas déterminer si la demande vient de vous qui l'a initié.
Comment Laravel se défend-il contre le CSRF?
Laravel active le mécanisme de protection CSRF par défaut, qui est principalement implémenté via le middleware VerifyCsrfToken . Sa logique principale est:
- Ajoutez un
_tokencaché_token à chaque formulaire, qui est une valeur aléatoire générée par le serveur et liée à la session en cours. - Laravel vérifiera que le jeton est légal à chaque fois qu'un message, un correctif, un patch ou une demande de suppression est soumis.
- Si le jeton ne correspond pas ou ne manque pas, une exception tokenmismatchException sera lancée.
De plus, Laravel fournit également la directive sur la lame @csrf pour insérer commodément le champ de jeton, qui est recommandé pour une utilisation dans toutes les formulaires non-get.
Quelles situations sont facilement négligées?
Bien que Laravel ait fait beaucoup de protection, dans le développement réel, les points suivants sont sujets aux problèmes:
-
La demande AJAX ne porte pas de jetons : par défaut, Laravel exige les demandes AJAX pour apporter des tokens XSRF dans l'en-tête. Vous pouvez le gérer automatiquement en ajoutant des balises de méta à la page et en utilisant des bibliothèques telles que Axios:
<meta name = "csrf-token" content = "{{csrf_token ()}}">Puis définissez:
$ .ajaxsetup ({ En-têtes: { 'X-csrf-token': $ ('meta [name = "csrf-token"]'). Attr ('contenu') } }); Vérification CSRF de contournement de l'API : Si vous utilisez le fichier de routage
api.php, il ne passe pas par défaut par défaut du groupe Middlewareweb, et la vérification CSRF ne sera pas activée. Si vous souhaitez que l'interface API prenne en charge la protection CSRF basée sur la session, vous devez ajouter manuellement le middleware associé.Les pages de mise en cache mènent à la fixation des jetons : si vous cachez la page contenant du jeton CSRF, cela amènera plusieurs utilisateurs à obtenir le même jeton, ce qui peut entra?ner des risques de sécurité. Par conséquent, évitez les pages en cache contenant des formulaires ou utilisez des jetons de chargement dynamiquement.
Quand le CSRF peut-il être éteint?
Dans certains scénarios, la protection du CSRF n'est en effet pas requise, comme:
- Construisez une API sans état (comme pour mobile)
- Utilisez un mécanisme d'authentification OAuth ou JWT
- Toutes les demandes sont vérifiées par le biais de jetons
à l'heure actuelle, vous pouvez choisir de déplacer l'itinéraire hors du groupe de middleware web , ou d'exclure directement des itinéraires spécifiques du middleware VerifyCsrfToken .
Cependant, une fois que vous avez décidé de désactiver le CSRF, assurez-vous que vous avez déjà d'autres mécanismes d'authentification plus sécurisés pour le remplacer.
Fondamentalement, c'est tout.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!
Article chaud
Outils chauds
Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Travailler avec des tables de pivot dans Laravel plusieurs à plusieurs relations
Jul 07, 2025 am 01:06 AM
TOWORKEFFECTECTEMENTSWitHPivottablesInLaravel, FirstAccessPivotDatauSingWithPivot () Orwithtimestamps (), ThepDateEntrieswitHupDateExistPivot (), ManagerLeshipSviaDeTache
Stratégies pour optimiser les performances de l'application Laravel
Jul 09, 2025 am 03:00 AM
L'optimisation des performances de Laravel peut améliorer l'efficacité de l'application à travers quatre directions de base. 1. Utilisez le mécanisme de cache pour réduire les requêtes en double, stocker rarement la modification des données via Cache :: Remember () et d'autres méthodes pour réduire la fréquence d'accès à la base de données; 2. Optimiser la base de données de la requête du modèle aux requêtes, évitez les requêtes N 1, spécifiant les requêtes de champ, ajoutant des index, pagination de traitement et de lecture et de séparation d'écriture et réduire les goulots d'étranglement; 3. Utilisez des opérations longues telles que l'envoi d'e-mails et l'exportation de fichiers vers le traitement asynchrone de file d'attente, utilisez le superviseur pour gérer les travailleurs et configurer des mécanismes de réessayer; 4. Utilisez raisonnablement les fournisseurs de middleware et de services pour éviter une logique complexe et un code d'initialisation inutile et retarder le chargement des services pour améliorer l'efficacité du démarrage.
Choisir entre Laravel Sanctum et Passport pour l'authentification API
Jul 14, 2025 am 02:35 AM
Laravelsanctum convient aux certifications API simples et légères telles que les applications SPA ou mobiles, tandis que le passeport convient aux scénarios où une fonctionnalité OAuth2 complète est requise. 1. Sanctum fournit une authentification basée sur des jetons, adaptée aux clients de premier parti; 2. Passport prend en charge des processus complexes tels que les codes d'autorisation et les informations d'identification des clients, adaptés aux développeurs tiers pour accéder; 3. L'installation et la configuration de Sanctum sont plus simples et les co?ts de maintenance sont faibles; 4. Les fonctions du passeport sont complètes, mais la configuration est complexe, adaptée aux plates-formes qui nécessitent un contr?le d'autorisation fin. Lors de la sélection, vous devez déterminer si la fonction OAuth2 est requise en fonction des exigences du projet.
Gestion de l'état de base de données pour les tests à Laravel
Jul 13, 2025 am 03:08 AM
Les méthodes de gestion de l'état de la base de données dans les tests Laravel incluent l'utilisation de RefreshDatabase, de semis sélectif des données, d'utilisation minutieuse des transactions et de nettoyage manuel si nécessaire. 1. Utilisez RefreshDatabasetraitt pour migrer automatiquement la structure de la base de données pour vous assurer que chaque test est basé sur une base de données propre; 2. Utilisez des graines spécifiques pour remplir les données nécessaires et générer des données dynamiques en combinaison avec l'usine du modèle; 3. Utilisez DatabaseTransactionStactionStrait pour faire reculer les changements de test, mais faites attention à ses limites; 4. Truncate manuellement le tableau ou réensemez la base de données lorsqu'elle ne peut pas être automatiquement nettoyée. Ces méthodes sont sélectionnées de manière flexible en fonction du type de test et d'environnement pour assurer la fiabilité et l'efficacité du test.
Implémentation de transactions de base de données dans Laravel?
Jul 08, 2025 am 01:02 AM
Laravel simplifie le traitement des transactions de la base de données avec le support intégré. 1. Utilisez la méthode DB :: Transaction () pour commettre automatiquement des opérations ou randonner des opérations pour assurer l'intégrité des données; 2. Prise en charge des transactions imbriquées et implémentez-les via des points de sauvegarde, mais il est généralement recommandé d'utiliser un wrapper de transaction unique pour éviter la complexité; 3. Fournir des méthodes de contr?le manuel telles que BeginTransaction (), commit () et rollback (), adaptées aux scénarios qui nécessitent un traitement plus flexible; 4. Les meilleures pratiques incluent le maintien des transactions courtes, les utilisant uniquement lorsque cela est nécessaire, les échecs de test et l'enregistrement des informations en arrière. Le choix rationnel des méthodes de gestion des transactions peut aider à améliorer la fiabilité et les performances des applications.
Gestion des demandes et réponses HTTP dans Laravel.
Jul 16, 2025 am 03:21 AM
Le c?ur de la gestion des demandes et des réponses HTTP dans Laravel est de ma?triser l'acquisition de données de demande, de retour et de téléchargement de fichiers. 1. Lors de la réception de données de demande, vous pouvez injecter l'instance de demande via des invites de type et utiliser des méthodes d'entrée () ou magiques pour obtenir des champs, et combiner valider () ou des classes de demande de formulaire de vérification; 2. La réponse de retour prend en charge les cha?nes, les vues, les JSON, les réponses avec les codes d'état et les en-têtes et les opérations de redirection; 3. Lors du traitement des téléchargements de fichiers, vous devez utiliser la méthode Fichier () et Store () pour stocker des fichiers. Avant le téléchargement, vous devez vérifier le type de fichier et la taille, et le chemin de stockage peut être enregistré dans la base de données.
Génération d'URL pour les routes nommées à Laravel.
Jul 16, 2025 am 02:50 AM
La fa?on la plus courante de générer une route nommée dans Laravel est d'utiliser la fonction d'assistance Route (), qui correspond automatiquement au chemin en fonction du nom de route et gère la liaison des paramètres. 1. Passez le nom et les paramètres de la route dans le contr?leur ou la vue, tels que Route ('user.profile', ['id' => 1]); 2. Lorsque plusieurs paramètres, il vous suffit de passer le tableau, et l'ordre n'affecte pas la correspondance, telle que Route ('user.post.show', ['id' => 1, 'postid' => 10]); 3. Les liens peuvent être directement intégrés dans le modèle de lame, tels que la visualisation des informations; 4. Lorsque des paramètres facultatifs ne sont pas fournis, ils ne sont pas affichés, comme Route (?user.post?,
Configurer et utiliser des priorités de file d'attente à Laravel
Jul 08, 2025 am 01:43 AM
La priorité de la file d'attente de Laravel est contr?lée à travers la séquence de démarrage. Les étapes spécifiques sont: 1. Définissez plusieurs files d'attente dans le fichier de configuration; 2. Spécifiez la priorité de la file d'attente lors du démarrage d'un travailleur, tel que phpartisanqueue: work - queue = high, par défaut; 3. Utilisez la méthode onqueue () pour spécifier le nom de la file d'attente lors de la distribution de taches; 4. Utilisez Laravelhorizon et d'autres outils pour surveiller et gérer les performances des files d'attente. Cela garantit que les taches de grande priorité sont traitées en premier tout en maintenant la maintenabilité du code et la stabilité du système.
