CSRF攻擊是利用用戶已登錄身份執(zhí)行未經(jīng)授權(quán)的操作。 Laravel通過(guò)中間件VerifyCsrfToken防禦，使用表單隱藏字段_token驗(yàn)證請(qǐng)求合法性。 1.AJAX請(qǐng)求需在header攜帶XSRF-Token；2.API路由默認(rèn)不啟用CSRF，需手動(dòng)添加中間件；3.緩存頁(yè)面可能導(dǎo)致token固定，應(yīng)避免緩存含表單頁(yè)面或動(dòng)態(tài)加載token。關(guān)閉CSRF適用於無(wú)狀態(tài)API、使用OAuth/JWT認(rèn)證等場(chǎng)景，但需確保其他安全機(jī)制可靠。

CSRF（跨站請(qǐng)求偽造）攻擊是一種常見(jiàn)的安全漏洞，攻擊者通過(guò)偽裝成用戶向已認(rèn)證的應(yīng)用程序發(fā)送惡意請(qǐng)求。在Laravel 中，框架本身提供了一套完善的機(jī)制來(lái)防止這類攻擊，但如果你不了解其工作原理或使用不當(dāng)，依然可能留下隱患。

什麼是CSRF 攻擊？

簡(jiǎn)單來(lái)說(shuō)，CSRF 是利用用戶已經(jīng)登錄的身份，在用戶不知情的情況下執(zhí)行某些操作。比如你在銀行網(wǎng)站登錄了賬戶，然後訪問(wèn)了一個(gè)惡意網(wǎng)站，該網(wǎng)站自動(dòng)發(fā)起一個(gè)轉(zhuǎn)賬請(qǐng)求，如果銀行沒(méi)有防範(fàn)措施，就可能誤認(rèn)為是你自己操作的。

這種攻擊之所以能成功，是因?yàn)闉g覽器會(huì)自動(dòng)帶上你對(duì)目標(biāo)網(wǎng)站的cookie，服務(wù)器無(wú)法判斷請(qǐng)求是否來(lái)自你本人主動(dòng)發(fā)起。

Laravel 如何防禦CSRF？

Laravel 默認(rèn)啟用了CSRF 保護(hù)機(jī)制，主要通過(guò)中間件VerifyCsrfToken來(lái)實(shí)現(xiàn)。它的核心邏輯是：

• 在每個(gè)表單中加入一個(gè)隱藏字段_token ，這個(gè)token 是服務(wù)端生成並與當(dāng)前會(huì)話綁定的隨機(jī)值。
• 每次提交POST、PUT、PATCH 或DELETE 請(qǐng)求時(shí)，Laravel 會(huì)驗(yàn)證這個(gè)token 是否合法。
• 如果token 不匹配或者缺失，就會(huì)拋出TokenMismatchException 異常。

此外，Laravel 還提供了@csrf Blade 指令來(lái)方便地插入token 字段，推薦在所有非GET 表單中使用。

哪些情況容易被忽略？

雖然Laravel 已經(jīng)做了很多防護(hù)，但在實(shí)際開(kāi)發(fā)中，以下幾個(gè)點(diǎn)容易出問(wèn)題：

• AJAX 請(qǐng)求未攜帶token ：默認(rèn)情況下，Laravel 要求AJAX 請(qǐng)求在header 中帶上XSRF-Token。你可以通過(guò)在頁(yè)面中添加meta 標(biāo)籤並使用Axios 等庫(kù)自動(dòng)處理：

   <meta name="csrf-token" content="{{ csrf_token() }}">

  然後設(shè)置：

   $.ajaxSetup({
      headers: {
          'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
      }
  });

• API 路由繞過(guò)CSRF 驗(yàn)證：如果你用的是api.php路由文件，默認(rèn)不經(jīng)過(guò)web中間件組，也就不會(huì)啟用CSRF 驗(yàn)證。如果你希望API 接口也支持基於session 的CSRF 保護(hù)，需要手動(dòng)加上相關(guān)中間件。

• 緩存頁(yè)面導(dǎo)致token 固定：如果你把包含CSRF token 的頁(yè)面緩存了，會(huì)導(dǎo)致多個(gè)用戶拿到相同的token，這可能會(huì)造成安全隱患。因此，要避免緩存包含表單的頁(yè)面，或使用動(dòng)態(tài)加載token 的方式。

什麼時(shí)候可以關(guān)閉CSRF？

有些場(chǎng)景下確實(shí)不需要CSRF 保護(hù)，比如：

• 構(gòu)建無(wú)狀態(tài)API（如用於移動(dòng)端）
• 使用OAuth 或JWT 認(rèn)證機(jī)制
• 所有請(qǐng)求都通過(guò)token-based 的方式驗(yàn)證身份

這時(shí)候你可以選擇將路由移出web中間件組，或者直接從VerifyCsrfToken中間件中排除特定路由。

不過(guò)，一旦決定關(guān)閉CSRF，請(qǐng)確保你已經(jīng)有其他更安全的身份驗(yàn)證機(jī)制來(lái)替代它。

基本上就這些。

以上是了解和防止Laravel中的CSRF攻擊？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！