Dalam aplikasi web moden, serangan pemalsuan permintaan merentas tapak (CSRF) telah menjadi kaedah serangan biasa Laravel ialah rangka kerja PHP popular yang telah terbina dalam Mekanisme perlindungan CSRF, middleware boleh digunakan untuk menambah perlindungan CSRF pada aplikasi dengan mudah.

Artikel ini akan memperkenalkan cara menggunakan perisian tengah untuk perlindungan CSRF dalam Laravel dan memberikan contoh kod khusus.

Apakah itu serangan Pemalsuan Permintaan Silang Tapak (CSRF)?

Serangan Pemalsuan Permintaan Merentas Tapak, nama Inggeris ialah Pemalsuan Permintaan Merentas Tapak, dirujuk sebagai CSRF, ialah kaedah serangan yang memulakan permintaan berniat jahat dengan memalsukan identiti pengguna.

Penyerang biasanya melakukan serangan CSRF dengan memperdaya pengguna untuk mengklik pada halaman dengan pautan berniat jahat atau memasukkan skrip berniat jahat ke dalam laman web tempat mangsa telah log masuk. Apabila mangsa dilog masuk, penyerang memulakan satu siri permintaan berniat jahat (seperti menukar kata laluan, menghantar mesej, dsb.) Permintaan ini nampaknya sah kepada mangsa, tetapi sebenarnya permintaan ini dimulakan oleh penyerang akan menyebabkan kemudaratan tertentu kepada mangsa.

Bagaimana untuk menggunakan perisian tengah untuk perlindungan CSRF dalam Laravel?

Laravel menyediakan kami mekanisme yang sangat mudah untuk melindungi aplikasi daripada serangan CSRF. Rangka kerja Laravel mempunyai mekanisme perlindungan CSRF terbina dalam, yang boleh dilaksanakan melalui perisian tengah.

Dalam Laravel, kami menggunakan perisian tengah CSRF untuk menyemak sama ada token CSRF pada permintaan POST, PUT, DELETE adalah sah. Secara lalai, Laravel menambah perisian tengah VerifyCsrfToken pada aplikasi anda dan menyemak secara automatik sama ada token CSRF untuk permintaan ini sah. VerifyCsrfToken中間件，并自動檢查這些請求的CSRF令牌是否有效。

如果CSRF令牌無效，Laravel將拋出一個TokenMismatchException異常，并提供一個默認(rèn)的錯誤視圖。我們也可以根據(jù)自己的需求自定義錯誤處理方式。

配置CSRF令牌

Laravel會在每個用戶會話中為應(yīng)用生成一個CSRF令牌，我們可以在應(yīng)用config/csrf.php的配置文件中調(diào)整CSRF令牌的配置。該配置文件允許您配置CSRF COOKIE和CSRF令牌在請求中的名稱。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中間件

Laravel中的VerifyCsrfToken中間件將檢查在路由中定義的任何POST、PUT或DELETE請求上的CSRF令牌是否有效。默認(rèn)情況下，應(yīng)用的routes/web.php文件除了web中間件外，還會使用VerifyCsrfToken中間件。

可以在中間件組中添加CSRF中間件，以便在應(yīng)用中的其他路由中使用。為了使用中間件保護(hù)路由，我們可以使用middleware方法將其添加到路由定義中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自定義CSRF錯誤處理

默認(rèn)情況下，如果使用VerifyCsrfToken中間件檢測到CSRF令牌不正確，Laravel將拋出一個TokenMismatchException異常，并提供一個默認(rèn)的錯誤視圖。

我們可以在app/Exceptions/Handler.php文件中嘗試捕獲CSRF異常并指定我們自己的錯誤處理方式。下面是一個自定義CSRF異常處理程序的示例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 處理CSRF異常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的代碼中，我們捕獲了TokenMismatchException異常，并使用with方法將錯誤消息保存到error閃存數(shù)據(jù)中。稍后，我們可以在視圖中使用with方法訪問這個閃存數(shù)據(jù)。

最后，我們可以在視圖中為任何需要提交POST、PUT或DELETE請求的表單添加CSRF令牌字段。使用csrf_field方法即可在表單中生成CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

總結(jié)

在本文中，我們介紹了如何在Laravel中使用中間件保護(hù)應(yīng)用免受CSRF攻擊。我們通過配置CSRF令牌、使用默認(rèn)的VerifyCsrfToken

Jika token CSRF tidak sah, Laravel akan membuang pengecualian TokenMismatchException dan memberikan paparan ralat lalai. Kami juga boleh menyesuaikan pengendalian ralat mengikut keperluan kami sendiri. #????#

Konfigurasikan token CSRF

#????#Laravel akan menjana token CSRF untuk aplikasi dalam setiap sesi pengguna, kita boleh menggunakannya dalam aplikasi config/csrf.phpLaraskan konfigurasi token CSRF dalam fail konfigurasi. Fail konfigurasi ini membolehkan anda mengkonfigurasi COOKIE CSRF dan nama token CSRF dalam permintaan. #????#rrreee

Menggunakan perisian tengah CSRF

#????#Perisian tengah VerifyCsrfToken dalam Laravel akan menyemak CSRF pada sebarang permintaan POST, PUT atau DELETE yang ditakrifkan dalam laluan Sama ada token adalah sah. Secara lalai, fail routes/web.php aplikasi juga akan menggunakan perisian tengah VerifyCsrfToken sebagai tambahan kepada perisian tengah web. #????##????#Anda boleh menambah perisian tengah CSRF dalam kumpulan perisian tengah untuk digunakan dalam laluan lain dalam aplikasi. Untuk melindungi laluan dengan middleware, kami boleh menambahkannya pada definisi laluan menggunakan kaedah middleware seperti berikut: #????#rrreee

Pengendalian ralat CSRF tersuai

#?? ?? #Secara lalai, jika token CSRF yang salah dikesan menggunakan perisian tengah VerifyCsrfToken, Laravel akan membuang pengecualian TokenMismatchException dan memberikan paparan ralat lalai. #????##????#Kami boleh cuba menangkap pengecualian CSRF dan menentukan pengendalian ralat kami sendiri dalam fail app/Exceptions/Handler.php. Berikut ialah contoh pengendali pengecualian CSRF tersuai: #????#rrreee#????# Dalam kod di atas, kami menangkap pengecualian TokenMismatchException dan menggunakan Kaedah with menyimpan mesej ralat kepada data kilat ralat. Kemudian, kita boleh mengakses data denyar ini dalam paparan menggunakan kaedah with. #????##????#Akhir sekali, kami boleh menambah medan token CSRF pada paparan untuk sebarang borang yang memerlukan penyerahan permintaan POST, PUT atau DELETE. Medan token CSRF boleh dijana dalam bentuk menggunakan kaedah csrf_field, seperti yang ditunjukkan di bawah: Cara menggunakan perisian tengah dalam Laravel untuk melindungi aplikasi anda daripada serangan CSRF. Kami telah meningkatkan keselamatan aplikasi dengan berkesan dengan mengkonfigurasi token CSRF, menggunakan perisian tengah VerifyCsrfToken lalai dan menyesuaikan kaedah pengendalian ralat CSRF. Saya percaya teknologi ini boleh membantu anda membina aplikasi web yang lebih selamat. #????#

Atas ialah kandungan terperinci Cara menggunakan perisian tengah untuk perlindungan Pemalsuan Permintaan Silang Tapak (CSRF) dalam Laravel. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!