之前在项目中因为没有弄清楚csrf token的使用,导致发请求的话,一直请求失败,今天就一起来看一下csrf的一些东西。

1.Cross-site request forgery 跨站请求伪造,也被称为 “one click attack” 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。

2.从字面意思就可以理解:当你访问 fuck.com 黑客页面的时候,页面上放了一个按钮或者一个表单,URL/action 为 http://you.com/delete-myself,这样引导或迫使甚至伪造用户触发按钮或表单。在浏览器发出 GET 或 POST 请求的时候,它会带上 you.com 的 cookie,如果网站没有做 CSRF 防御措施,那么这次请求在 you.com 看来会是完全合法的,这样就会对 you.com 的数据产生破坏。

3.第三方恶意网站也是可以构造post请求并提交至被攻击网站的,所以POST方式提交只是提高了攻击的门槛而已,无法防范CSRF攻击,所以对post也要进行防范

关于csrf更多的请参考 https://segmentfault.com/q/1010000000713614 https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/

在laravel中为了防止csrf 攻击,设计了  csrf token

laravel默认是开启了csrf token 验证的,关闭这个功能的方法:

(1)打开文件:app\Http\Kernel.php

  把这行注释掉:‘App\Http\Middleware\VerifyCsrfToken’

(2)打开文件 app\Http\Middleware\VerifyCsrfToken.php

    修改handle方法为:   

  public function handle($request, Closure $next)

     {

         // 使用CSRF

         //return parent::handle($request, $next);

         // 禁用CSRF

         return $next($request);

     }

csrf的使用:

(1)在html的代码中加入:

 <input type="hidden" name="_token" value="{{ csrf_token() }}" />

(2)使用cookie 方式 ,将app\Http\Middleware\VerifyCsrfToken.php修改为:

 <?php namespace App\Http\Middleware;

 use Closure;

 use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

 class VerifyCsrfToken extends BaseVerifier {

     /**

      * Handle an incoming request.

      *

      * @param  \Illuminate\Http\Request  $request

      * @param  \Closure  $next

      * @return mixed

      */

     public function handle($request, Closure $next)

     {

         return parent::addCookieToResponse($request, $next($request));

     }

 }

使用cookie方法就不用在每个页面都加入这个input 的 hidden 标签

还可以部分使用csrf检测部分不使用。

注:本文从laravel的csrf token开始到此参考:http://blog.csdn.net/proud2005/article/details/49995389

关于  laravel 的 csrf 保护更多的内容请参考 laravel学院文档:http://laravelacademy.org/post/6742.html

下面说说我们那个项目中的关于csrf token的使用:

在我的另一篇文章中也提到了我们那个项目中的使用过程

在中间件VerifyCsrfToken.php中修改内容为:
 protected function tokensMatch($request)

 {

     // If request is an ajax request, then check to see if token matches token provider in

     // the header. This way, we can use CSRF protection in ajax requests also.

     $token = $request->ajax() ? $request->header('X-CSRF-TOKEN') : $request->input('_token');

     return $request->session()->token() == $token;

 }

 public function handle($request,\Closure $next){

     //todo:需要在添加了登录验证之后,取消

    //这样是在post请求的时候不进行csrf token验证

     if($request->method() == 'POST')

     {

         return $next($request);

     }

     return parent::handle($request,$next);

 }
然后在vue中的bootstrap.js中的引入的axios的位置添加
  window.axios.defaults.headers.common = {  'X-CSRF-TOKEN': document.querySelector('meta[name="X-CSRF-TOKEN"]').content,  'X-Requested-With': 'XMLHttpRequest'  }; 

在index.blade.php中添加
  <meta name="X-CSRF-TOKEN" content="{{csrf_token()}}"> 

上面的代码都好理解,就是获取到 csrf_token令牌,然后提交,再经过中间件验证即可

下面重点来说一下 VerifyCsrfToken.php中间件

中间件的内容最开始应该只有一个 handle函数:这个是所有的都进行csrf token验证

  public function handle($request,\Closure $next){

         return parent::handle($request,$next);

     }

现在项目中的这个中间件的内容

 <?php

 namespace App\Http\Middleware;

 use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

 class VerifyCsrfToken extends BaseVerifier

 {

     /**

      * The URIs that should be excluded from CSRF verification.

      *

      * @var array

      */

     protected $except = [

         //

     ];

 //    protected $except = [

 //

 //        '/classroom_upload',

 //        'wk_upload',

 //        'wechat',

 //    ];

     protected function tokensMatch($request)

     {

         // If request is an ajax request, then check to see if token matches token provider in

         // the header. This way, we can use CSRF protection in ajax requests also.

         $token = $request->ajax() ? $request->header('X-CSRF-TOKEN') : $request->input('_token');

         return $request->session()->token() == $token;

     }

     public function handle($request,\Closure $next){

         //todo:需要在添加了登录验证之后,取消

         if($request->method() == 'POST')

         {

             return $next($request);

         }

         return parent::handle($request,$next);

     }

 }

我们来看一下 VerifyCsrfToken.php的源码             Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php;

 <?php

 namespace Illuminate\Foundation\Http\Middleware;

 use Closure;

 use Carbon\Carbon;

 use Illuminate\Foundation\Application;

 use Symfony\Component\HttpFoundation\Cookie;

 use Illuminate\Contracts\Encryption\Encrypter;

 use Illuminate\Session\TokenMismatchException;

 class VerifyCsrfToken

 {

     /**

      * The application instance.

      *

      * @var \Illuminate\Foundation\Application

      */

     protected $app;

     /**

      * The encrypter implementation.

      *

      * @var \Illuminate\Contracts\Encryption\Encrypter

      */

     protected $encrypter;

     /**

      * The URIs that should be excluded from CSRF verification.

      *

      * @var array

      */

     protected $except = [];

     /**

      * Create a new middleware instance.

      *

      * @param  \Illuminate\Foundation\Application  $app

      * @param  \Illuminate\Contracts\Encryption\Encrypter  $encrypter

      * @return void

      */

     public function __construct(Application $app, Encrypter $encrypter)

     {

         $this->app = $app;

         $this->encrypter = $encrypter;

     }

     /**

      * Handle an incoming request.

      *

      * @param  \Illuminate\Http\Request  $request

      * @param  \Closure  $next

      * @return mixed

      *

      * @throws \Illuminate\Session\TokenMismatchException

      */

     public function handle($request, Closure $next)

     {

         if (

             $this->isReading($request) ||

             $this->runningUnitTests() ||

             $this->inExceptArray($request) ||

             $this->tokensMatch($request)

         ) {

             return $this->addCookieToResponse($request, $next($request));

         }

         throw new TokenMismatchException;

     }

     /**

      * Determine if the HTTP request uses a ‘read’ verb.

      *

      * @param  \Illuminate\Http\Request  $request

      * @return bool

      */

     protected function isReading($request)

     {

         return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']);

     }

     /**

      * Determine if the application is running unit tests.

      *

      * @return bool

      */

     protected function runningUnitTests()

     {

         return $this->app->runningInConsole() && $this->app->runningUnitTests();

     }

     /**

      * Determine if the request has a URI that should pass through CSRF verification.

      *

      * @param  \Illuminate\Http\Request  $request

      * @return bool

      */

     protected function inExceptArray($request)

     {

         foreach ($this->except as $except) {

             if ($except !== '/') {

                 $except = trim($except, '/');

             }

             if ($request->is($except)) {

                 return true;

             }

         }

         return false;

     }

     /**

      * Determine if the session and input CSRF tokens match.

      *

      * @param  \Illuminate\Http\Request  $request

      * @return bool

      */

     protected function tokensMatch($request)

     {

         $token = $this->getTokenFromRequest($request);

         return is_string($request->session()->token()) &&

                is_string($token) &&

                hash_equals($request->session()->token(), $token);

     }

     /**

      * Get the CSRF token from the request.

      *

      * @param  \Illuminate\Http\Request  $request

      * @return string

      */

     protected function getTokenFromRequest($request)

     {

         $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

         if (! $token && $header = $request->header('X-XSRF-TOKEN')) {

             $token = $this->encrypter->decrypt($header);

         }

         return $token;

     }

     /**

      * Add the CSRF token to the response cookies.

      *

      * @param  \Illuminate\Http\Request  $request

      * @param  \Symfony\Component\HttpFoundation\Response  $response

      * @return \Symfony\Component\HttpFoundation\Response

      */

     protected function addCookieToResponse($request, $response)

     {

         $config = config('session');

         $response->headers->setCookie(

             new Cookie(

                 'XSRF-TOKEN', $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config['lifetime'],

                 $config['path'], $config['domain'], $config['secure'], false

             )

         );

         return $response;

     }

 }

其中app下面的VerifyCsrfToken中间件是继承源码中的那个VerifyCsrfToken类

我们项目中重写了tokensMatch方法,然后调父类的handle的时候,父类中使用的是this调用tokensMatch的,个人感觉应该最后有用的是我们重写的这个方法,如果是ajax请求的话,我们就检测$request->header('X-CSRF-TOKEN')与session中的token是否一样 否则的话,就检测 $request->input('_token')与session中的token是否一样。

本人对laravel的原理还不太了解,上面的内容如果有什么错误的话,欢迎指教。

如需转载请注明:

本文出处:http://www.cnblogs.com/zhuchenglin/p/7723997.html

laravel的csrf token 的了解及使用的更多相关文章

  1. sqlmap和burpsuite绕过csrf token进行SQL注入检测

    利用sqlmap和burpsuite绕过csrf token进行SQL注入 转载请注明来源:http://www.cnblogs.com/phoenix--/archive/2013/04/12/30 ...

  2. CSRF token 无法被验证. ----Yii连接数据库后数据库错误日志报错

    CSRF token 无法被验证. 我使用的是mongodb+ yii1.1 What is CSRF, please see the details here.  http://en.wikiped ...

  3. Django后台post请求中的csrf token

    使用Requests库操作自己的Django站点,post登陆admin页面返回403,serverlog显示csrf token not set. csrf token是get登陆页面时服务器放在c ...

  4. django rest framework csrf failed csrf token missing or incorrect

    django rest framework csrf failed csrf token missing or incorrect REST_FRAMEWORK = { 'DEFAULT_AUTHEN ...

  5. django CSRF token missing or incorrect

    django 异步请求时提示403 按照一般情况权限问题,python文件没有问题,仔细看了下response里有一句 CSRF token missing or incorrect.这个肯定是因为安 ...

  6. 利用sqlmap和burpsuite绕过csrf token进行SQL注入 (转)

    问题:post方式的注入验证时遇到了csrf token的阻止,原因是csrf是一次性的,失效导致无法测试. 解决方案:Sqlmap配合burpsuite,以下为详细过程,参照国外牛人的blog(不过 ...

  7. What is the best way to handle Invalid CSRF token found in the request when session times out in Spring security

    18.5.1 Timeouts One issue is that the expected CSRF token is stored in the HttpSession, so as soon a ...

  8. 关于django1.7.7使用ajax后出现“CSRF token missing or incorrect”问题的解决办法

    最近使用Python3.3.25和django1.7.7开发公司项目,在使用ajax来post数据时,居然一直提示:403错误,原因是“CSRF token missing or incorrect” ...

  9. CodeIgniter中使用CSRF TOKEN的一个坑

    事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里 我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官 ...

随机推荐

  1. .Net转Java.04.踩到switch的坑

    今天线上有个NullPointerException 的异常,我翻了一下代码,抛异常的竟然是switch语句 我有种不祥的预感,本地做了实验 结果是 Java的switch如果传入null值,会抛出  ...

  2. Android CollapsingToolbarLayout使用介绍

    我非常喜欢Material Design里折叠工具栏的效果,bilibili Android客户端视频详情页就是采用的这种设计.这篇文章的第二部分我们就通过简单的模仿bilibili视频详情页的实现来 ...

  3. QIDO-RS - Search

    6.7.1 QIDO-RS - Search 6.7.1.1 Request The specific resources to be used for the search actions shal ...

  4. WPF 模板绑定父级控件内容

    WPF 模板绑定父级控件内容 <Style TargetType="Button" x:Key="btn"> <Setter Property ...

  5. corda

    账本:corda 从每个节点的视角看待账本都是不一样的.并不是所有节点有所有账本信息的.valut视为SQL数据库,只保存 两两节点之间的数据库 状态:状态是不变的对象,代表共享的事实,比如特定时间的 ...

  6. MySQL技术内幕读书笔记(五)——索引与算法

    索引与算法 INNODB存储引擎索引概述 ​ INNODB存储引擎支持以下几种常见的索引: B+树索引 全文索引 哈希索引 ​ InnoDB存储引擎支持的哈希索引是自适应的.会根据表的情况自动添加 ​ ...

  7. 【C++】C++中类的基本使用

    1.类和成员声明,定义,初始化的基本规则 C++中类的基本模板如下: namespace 空间命名{//可以定义namespace,也可以不定义 class/struct 类名称{ public/pr ...

  8. linux驱动工程面试必问知识点

    linux内核原理面试必问(由易到难) 简单型 1:linux中内核空间及用户空间的区别?用户空间与内核通信方式有哪些? 2:linux中内存划分及如何使用?虚拟地址及物理地址的概念及彼此之间的转化, ...

  9. Win10 calc.exe 无法打开计算器的解决方法

    先将所有程序关闭,以管理员身份运行 Windows PowerShell,之后输入以下命令 Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage - ...

  10. 【Wildfly】从默认的自动重启修改为手动重启

    最近在使用Wildfly作为Web服务器,用的是10.0.0版本.默认情况下,Wildfly的部署方式是通过将项目放到%WILDFLY_HOME%\standalone\deployments下的,然 ...