1-17.Laravel框架之CSRF代码讲解

今天药忘吃喽~ 2022-04-22 00:02 220阅读 0赞

# **一、CSRF攻击** #

## **1、什么是CSRF攻击** ##

CSRF是跨站请求伪造（Cross-site request forgery）的英文缩写，

原理图示：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70][]

csrf在laravel框架中的使用，就是在客户端form表单中设置一个\_token表单域

同时把该表单域的值记录给session，提交表单给服务器后，服务器判断form表单中的\_token与session中的\_token是否一致，一致就进行正常的后续处理，否则该表单非法并舍弃之。

Laravel提供了一个全局帮助函数csrf\_token来获取该Token值，因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token：

执行route/web.php路由的请求，只要请求方式为post/put/patch，都会执行csrf验证，如果有哪个路由请求不要经过csrf校验，就把该请求地址设置给VerifyCsrfToken 中间件

class VerifyCsrfToken extends BaseVerifier
    {
        /**
         *从CSRF验证中排除的URL
         * @var array
         */
        protected $except = [
            'stripe/*',
        ];
    }

## **2、CSRF案例** ##

**注意：在 laravel中，默认情况下POST请求的路由都必须要通过令牌验证的，也就是在post请求的表单中，都必须携带\_token的。**

（1）定义一个路由

//展示表单的路由

Route::get('register','DemoController@register');

//接收表单的路由

Route::post('registerok','DemoController@registerok');

（2）根据路由，新建一个DemoConotroller的控制器，并添加如上两个方法

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 1][]

（3）建立一个register对应的视图文件

![20181031215146113.png][]

视图文件的内容如下；

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 2][]

（4）为了防止跨域提交表单，需要在表单里面，添加一个生成令牌的标签。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 3][]

解析效果如下；

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 4][]

注意：如果在表单里面，没有令牌（秘钥）post提交时，报如下错误。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 5][]

**要注意：\{ \{csrf\_field()\}\}和\{ \{csrf\_token()\}\}的区别**

\{ \{csrf\_field()\}\}直接生成

**\{ \{csrf\_token()\}\}**直接生成令牌字符串。

## **3、从CSRF验证中排除指定URL** ##

可以设置哪些post请求的路由，不需要令牌验证。

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。

可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 6][]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70]: /images/20220422/5e2ff179fe694a758bf8eb95d7eaabf4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 1]: /images/20220422/8d137d8b66144faa8ebf6c933aed6454.png
[20181031215146113.png]: /images/20220422/a26bc86450cc4703bd6aea6a2ebeee18.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 2]: /images/20220422/d0a5ec5cb6a04b9e80f483517ed922e7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 3]: /images/20220422/1452999fce85426a8b1047a788e54e73.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 4]: /images/20220422/d6bc6af012f24d9e868707fdecaad74e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 5]: /images/20220422/add10a6bf0f948a186c8eb5a2225aad5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhb3l1bnl1bjg4OA_size_16_color_FFFFFF_t_70 6]: /images/20220422/fb970b0ae92243e7803a0cce53aabdc6.png