CSRF 是指針對 Web 應(yīng)用程序的跨站偽造攻擊。 CSRF 攻擊是系統(tǒng)經(jīng)過身份驗證的用戶執(zhí)行的未經(jīng)授權(quán)的活動。因此，許多 Web 應(yīng)用程序很容易受到這些攻擊。

Laravel 通過以下方式提供 CSRF 保護 -

Laravel 包含一個內(nèi)置的 CSRF 插件，可為每個活動用戶會話生成令牌。這些令牌驗證操作或請求是否由相關(guān)的經(jīng)過身份驗證的用戶發(fā)送。

實現(xiàn)

本節(jié)詳細(xì)討論 Laravel 中 CSRF 保護的實現(xiàn)。在進一步進行 CSRF 保護之前，請注意以下幾點 -

• CSRF 是在 Web 應(yīng)用程序內(nèi)聲明的 HTML 表單中實現(xiàn)的。您必須在表單中包含隱藏的經(jīng)過驗證的 CSRF 令牌，以便 Laravel 的 CSRF 保護中間件可以驗證請求。語法如下所示 -

<form method = "POST" action="/profile">
   {{ csrf_field() }}
   ...
</form>

• 您可以使用 JavaScript HTTP 庫方便地構(gòu)建 JavaScript 驅(qū)動的應(yīng)用程序，因為這包括每個傳出請求的 CSRF 令牌。

• 文件即resources/assets/js/bootstrap.js注冊了所有Laravel 應(yīng)用程序的令牌，并包含 meta 標(biāo)簽，該標(biāo)簽存儲 csrf-token 和 Axios HTTP 庫。

沒有 CSRF 令牌的表單

考慮以下代碼行。它們顯示了一個表單，該表單接受兩個參數(shù)作為輸入：email和message.

<form><form><br/>   <label> Email </label><br/>      <input type = "text" name = "email"/><br/>      <br/><br/>   <label> Message </label> <input type="text" name = "message"/><br/>   <input type = ”submit” name = ”submitButton” value = ”submit”><br/></form><!--輸入類型=“提交”名稱=“提交按鈕”值=“提交”--><!--輸入類型=“文本”名稱=“電子郵件”--></form>

上述代碼的結(jié)果是最終用戶可以查看的如下所示的表單 -

上面顯示的表單將接受來自授權(quán)用戶的任何輸入信息。這可能會使 Web 應(yīng)用程序容易受到各種攻擊。

請注意，提交按鈕包含控制器部分中的功能。 postContact 函數(shù)在關(guān)聯(lián)視圖的控制器中使用。如下所示 -

請注意，該表單不包含任何 CSRF 令牌，因此作為輸入?yún)?shù)共享的敏感信息很容易受到各種攻擊。

帶有 CSRF 令牌的表單

以下代碼行向您展示了使用 CSRF 令牌重新設(shè)計的表單?

<form method = ”post” >
   {{ csrf_field() }}
   <label> Email </label>
   <input type = "text" name = "email"/>
   <br/>
   <label> Message </label>
   <input type = "text" name = "message"/>
   <input type = ”submit” name = ”submitButton” value = ”submit”>
</form>

實現(xiàn)的輸出將返回帶有令牌的 JSON，如下所示 -

{
   "token": "ghfleifxDSUYEW9WE67877CXNVFJKL",
   "name": "TutorialsPoint",
   "email": "contact@tutorialspoint.com"
}

這是點擊提交按鈕時創(chuàng)建的 CSRF 令牌。

以上是Laravel - CSRF 保護的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！