• 黑马lavarel教程---4、csrf验证及相关


    黑马lavarel教程---4、csrf验证及相关

    一、总结

    一句话总结:

    csrf验证就像短信验证码那样验证用户身份,这个验证是为了验证是本站的操作,用的是一个token字符串,外站如果有了这个token字符串,也是可以请求的

    1、Laravel框架中避免CSRF攻击原理?

    Laravel框架中避免CSRF攻击很简单:Laravel自动为【每个用户Session】生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致】

    2、Csrf_token和Csrf_field的区别?

    Csrf_token只是输出token的值,Csrf_field输出了一个整个的input隐藏域

    3、如何查看csrf_token值?

    全局帮助函数csrf_token来获取该Token值
    Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:
    <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

    4、{{csrf_token}}和{{csrf_field}}如何选择?

    异步ajax的时候必须Csrf_token,表单的时候推荐Csrf_field,省事

    5、外部网站怎么能在有csrf验证的情况下进行csrf攻击?

    将用户对应的token值放在input隐藏域里面,请求地址还是比较好获取的
    <input type="hidden" name="_token" value="U34XbEpI81k9b9FLgHZiVZUQWkbjcbbp6Z4SQUbwP">

    6、从CSRF验证中排除例外路由:并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求?

    可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中
    protected $except=[
        //该处写需排除csrf验证的路由
        'home/test/test7''home/test/test'
    ];

    二、csrf验证及相关

    1、什么是CSRF攻击

    CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写:

    Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致

    Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:

    <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

    2、Laravel中如何避免CSRF攻击

    案例:通过案例实现csrf的机制验证

    ①创建两个路由,一个用于展示表单(get),另外处理请求(post)

     

    ②创建需要的方法

     

    ③创建需要的简易表单

     

    效果:

     

    ④提交效果(报错页面)

     

    结论:通过刚才的案例,说明在laravel中csrf验证机制默认是开启的

    ⑤解决报错问题(如何通过csrf验证)

    解决思路:带上csrf需要token值,随着请求传递给后续的方法

     

    针对csrf_token方法的简化:{{csrf_field()}}

     

    具体的表现形式:

     

    两者的区别:

    Csrf_token只是输出token的值

    Csrf_field输出了一个整个的input隐藏域

    在后期使用的时候怎么选择:大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的,必须需要使用csrf_token的,这个情况就是使用异步提交表单的方式。

    3、从CSRF验证中排除例外路由

    并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

    可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:

     

    通过编写配置设置例外:

    单个路由排除写法

     

    多个元素之间通过“,”分割,遵循数组写法。

    如果需要排除全部路由使用csrf的话,则可以写成:

     

     
  • 相关阅读:
    字符串加密
    接口实例
    RecyclerView添加Hearder
    基于Vue实现图片在指定区域内移动
    Tinymce 编辑器添加自定义图片管理插件
    LocalStorage和sessionStorage之间的区别
    javascript之url转义escape()、encodeURI()和decodeURI(),ifram父子传参参数有中文时出现乱码
    Js实现简单的音频播放
    通用CSS命名规范
    Hbuilder常用功能汇总
  • 原文地址:https://www.cnblogs.com/Renyi-Fan/p/11324826.html
Copyright © 2020-2023  润新知