Laravel 文档阅读:CSRF 保护 | Laravel China 社区 - 高品质的 Laravel 和 PHP 开发者社区

[Laravel 文档阅读:CSRF 保护 | Laravel China 社区 - 高品质的 Laravel 和 PHP 开发者社区]

翻译、衍生自:https://laravel-china.org/docs/laravel/5.5/csrf

简介

使用 Laravel 能够很简单的避免 跨站请求伪造(CSRF) 攻击。跨站请求伪造是一种恶意攻击,通过这种操作,认证用户可以执行未经授权的命令。

Laravel 为每个用户回话自动生成 CSRF 令牌。此令牌用于验证认证用户就是实际向应用程序发出请求的用户。

在应用程序中凡是使用 HTML 表单的地方,都应该包含一个名为 _token 的隐藏域,这个字段值就是 CSRF 令牌,随请求发往后台的时候,会经 CSRF 中间件验证。 咱可以使用 csrf_field 辅助函数生成这个隐藏域。

<form method="POST" action="/profile">
    {{ csrf_field() }}
    ...
</form>

刚才提到的 CSRF 中间件,就是名为 VerifyCsrfToken 的中间件,位于 app/Http/Middleware/VerifyCsrfToken.php,它定义在 web 中间件组里,所以对所有的 Web 请求接口都生效。VerifyCsrfToken 会验证请求里的令牌和保存在回话里的令牌值是否一样。

CSRF 令牌 & JavaScript

在构建 JavaScript 驱动型的应用程序时,给你的 JavaScript HTTP 库附加 CSRF 令牌也很方便。默认,resources/assets/js/bootstrap.js 文件中为 Axios HTTP 库附加了 CSRF 令牌,令牌是从 HTML 的 <meta name="csrf-token" content="{{ csrf_token() }}"> 这个标签里取到的。

/**
 * We'll load the axios HTTP library which allows us to easily issue requests
 * to our Laravel back-end. This library automatically handles sending the
 * CSRF token as a header based on the value of the "XSRF" token cookie.
 */

window.axios = require('axios');

window.axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';

/**
 * Next we will register the CSRF Token as a common header with Axios so that
 * all outgoing HTTP requests automatically have it attached. This is just
 * a simple convenience so we don't have to attach every token manually.
 */

let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) {
    window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
} else {
    console.error('CSRF token not found: https://laravel-china.org/docs/laravel/csrf#csrf-x-csrf-token');
}

如果你不是用 Axios 作为 HTTP 请求库的话(比如用 jQuery),那么就需要你手动配置了。

从 CSRF 保护中排除一组 URIs

应用程序中,并不是所有的请求都需要经过 CSRF 令牌验证。例如,当你使用 Stripe 处理支付流程并且使用了它们的 wekhook 系统的时候,你就需要把所有与 Stripe 相关的 URI 排除在 CSRF 保护队列之外,因为 Stripe 可不知道要给你的路由发送什么 CSRF 令牌值。

遇到这种情况,你的路由要么不放在 routes/web.php 中(因为这个文件里的路由都附加了 web 中间件),当然这很麻烦,所以我们不这么做。怎么做呢?很简单,只要在 VerifyCsrfToken 中间件的 $except 属性里添加你要排除在 CSRF 保护之外的 URIs 就可以了。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        'stripe/*',
    ];
}

X-CSRF-TOKEN

VerifyCsrfToken 中间件除了会检查以 POST 参数形式传递过来的 CSRF 令牌之外,也检查请求头的 X-CSRF-TOKEN 字段。我们可以把令牌放在 meta 标签里:

<meta name="csrf-token" content="{{ csrf_token() }}">

这样一个 meta 标签创建好后,我们就可以向 jQuery 这一类库中附加 X-CSRF-TOKEN 标头字段,之后的每次 HTTP 请求里都会包含这个信息。

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

需要注意的是,在 resources/assets/js/bootstrap.js 这个文件中,默认为 Axios 这个 HTTP 请求库附加的 CSRF 令牌,也是从上面的 meta 标签里获取的。如果你不是用 Axios 作为 HTTP 请求库的话,就需要向上面设置 jQuery 那样手动配置了。

X-XSRF-TOKEN

Laravel 还将应用程序里的 CSRF 令牌保存在了名为 XSRF-TOKEN 的 cookie 里,这个 cookie 在程序的每次相应中都会携带。你可以用这个 cookie 值设置 X-XSRF-TOKEN 请求头。

这个 cookie 主要是为其他一些 JavaScript 框架和库提供便利,比如 Angular 和 Axios,它们会自动将这个名为 XSRF-TOKEN 的 cookie 值放在 X-XSRF-TOKEN 这个请求头里。

Original url: Access

Created at: 2018-10-10 18:54:05

Category: default

Tags: none

未标明原创文章均为采集,版权归作者所有,转载无需和我联系,请注明原出处,南摩阿彌陀佛,知识,不只知道,要得到

请先后发表评论
  • 最新评论
  • 总共0条评论