Laravel框架中避免CSRF攻擊很簡單:Laravel自動為每個用戶Session生成了一個CSRF Token,該Token可用於驗證登錄用戶和發起請求者是否是同一人,如果不是則請求失敗。
Laravel提供了一個全局幫助函數 csrf_token 來獲取該Token值,因此只需在視提交圖表單中添加如下HTML代碼即可在請求中帶上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>"> 該段代碼等同於全局幫助函數csrf_field的輸出:
在Blade模板引擎中還可以使用如下方式調用:
{!! csrf_field() !!}
3、從CSRF驗證中排除指定URL
並不是所有請求都需要避免CSRF攻擊,比如去第三方API獲取數據的請求。
可以通過在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中間件中將要排除的請求URL添加到$except屬性數組中:
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* 指定從 CSRF 驗證中排除的URL
*
* @var array
*/
protected $except = [
'testCsrf'
];
}
X-CSRF-Token及其使用:
使用Ajax 提交post表單 可以把 Token 存在 meta 中
<meta name="csrf-token" content="{{ csrf_token() }}">
然后在全局Ajax中使用這種方式設置X-CSRF-Token請求頭並提交
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
Laravel中CSRF驗證原理分析
1)首先Laravel開啟Session時會生成一個token值並存放在Session中(Illuminate\Session\Store.php第90行start方法),對應源碼如下:
public function start()
{
$this->loadSession();
if (! $this->has('_token')) {
$this->regenerateToken();
}
return $this->started = true;
}
VerifyToken 是中間件 -> handle()->isReading(判斷請求的方式 排除get,head,options) -> showPassThough 判斷 路由是否在$except 內排除 做了排除也不驗證 最后通過 TokenMatch 方法判斷 CSRF TOKEN 值和SESSION 中的TOKEN 是否相等 相同則通過驗證
否則 拋出異常 :tokensMatch方法首先從Request中獲取_token參數值,如果請求中不包含該參數則獲取X-CSRF-TOKEN請求頭的值,如果該請求頭也不存在則獲取X-XSRF-TOKEN請求頭的值,需要注意的是X-XSRF-TOKEN請求頭的值需要調用Encrypter的decrypt方法進行解密。
2)然后重點分析VerifyToken中間件的handle方法,該方法中先通過isReading方法判斷請求方式,如果請求方法是HEAD、GET、OPTIONS其中一種,則不做CSRF驗證;
3)再通過shouldPassThrough方法判斷請求路由是否在$excpet屬性數組中進行了排除,如果做了排除也不做驗證;
4)最后通過tokensMatch方法判斷請求參數中的CSRF TOKEN值和Session中的Token值是否相等,如果相等則通過驗證,否則拋出TokenMismatchException異常。
對應源碼如下:
public function handle($request, Closure $next)
{
if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
return $this->addCookieToResponse($request, $next($request));
}
throw new TokenMismatchException;
}