1、什么是csrf攻击?
csrf是跨站请求伪造(cross-site request forgery)的英文缩写\
laravel框架中避免csrf攻击很简单:laravel自动为每个用户session生成了一个csrf token,该token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致】
laravel提供了一个全局帮助函数csrf_token来获取该token值,因此只需在视图提交表单中添加如下html代码即可在请求中带上token:
<input type=”hidden” name=”_token” value=”<?php echo csrf_token(); ?>”>
2.laravel中如何避免csrf攻击
laravel框架是默认开启了csrf认证的(必须)。
可以在表单中添加一个隐藏域:
{{csrf_token()}}:表示直接输出token值;
{{csrf_field()}}:表示的是直接输出整个隐藏域的input框;
场景选择:一般在视图里用csrf_field即可,大部分的时候在javascript代码段中(特别是在做ajax异步提交的时候)可以考虑用csrf_token。
csrf验证机制与图形验证码的原理是一致的,都是将用户提交的值与与session中的值进行比对,如果一致则通过,否则不通过。
针对csrf_token与csrf_field的选择问题:
如果只需要使用值(例如,在ajax的post提交的时候),则使用csrf_token,如果需要的是隐藏域(在表单里),则使用csrf_field。
3、从csrf验证中排除例外路由
并不是所有请求都需要避免csrf攻击,比如去第三方api获取数据的请求。
可以通过在verifycsrftoken(app/http/middleware/verifycsrftoken.php)中间件中将要排除的请求url添加到$except属性数组中:
