Laravel中如何避免CSRF攻击

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。

Laravel提供了一个全局帮助函数 csrf_token 来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">  该段代码等同于全局帮助函数csrf_field的输出:

Blade模板引擎中还可以使用如下方式调用:

{!! csrf_field() !!}


3、从CSRF验证中排除指定URL

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

可以通过在VerifyCsrfTokenapp/Http/Middleware/VerifyCsrfToken.php中间件中将要排除的请求URL添加到$except属性数组中:

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }
 

X-CSRF-Token及其使用:

使用Ajax  提交post表单  可以把 Token  存在 meta 中

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交



$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});






Laravel中CSRF验证原理分析




1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:




public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}



VerifyToken 是中间件   ->  handle()->isReading(判断请求的方式 排除get,head,options)   -> showPassThough 判断  路由是否在$except  内排除   做了排除也不验证   最后通过   TokenMatch   方法判断   CSRF TOKEN 值和SESSION 中的TOKEN 是否相等   相同则通过验证

否则   抛出异常  :tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypterdecrypt方法进行解密。




2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEADGETOPTIONS其中一种,则不做CSRF验证;




3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;




4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。









对应源码如下:




public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}













 






            

            
posted @ 
2017-06-07 15:27 
隔壁家王叔叔 
阅读(2826) 
评论(1编辑 
收藏 
举报