Laravel框架 HTTP路由CSRF攻击原理及其防护例子
1、什么是CSRF攻击
CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护,可查看Github上的这个项目:理解CSRF,说得比较详细和透彻。
2、Laravel中如何避免CSRF攻击
Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。
Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
该段代码等同于全局帮助函数csrf_field的输出:
<?php echo csrf_field(); ?>
在Blade模板引擎中还可以使用如下方式调用:
{!! csrf_field() !!}
测试代码
我们在routes.php中定义如下代码:
Route::get('testCsrf',function(){
$csrf_field = csrf_field();
$html = <<<GET
<form method="POST" action="/testCsrf">
{$csrf_field}
<input type="submit" value="Test"/>
</form>
GET;
return $html;
});
Route::post('testCsrf',function(){
return 'Success!';
});
在浏览器中我们输入http://laravel.app:8000/testCsrf,点击“Test”按钮,浏览器输出:
Success!
则表示请求成功,否则,如果我们定义GET路由如下:
Route::get('testCsrf',function(){
$html = <<<GET
<form method="POST" action="/testCsrf">
<input type="submit" value="Test"/>
</form>
GET;
return $html;
});
则点击“Test”按钮,则抛出TokenMismatchException异常。
3、从CSRF验证中排除指定URL
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中:
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* 指定从 CSRF 验证中排除的URL
*
* @var array
*/
protected $except = [
'testCsrf'
];
}
这样我们刷新页面,再次在http://laravel.app:8000/testCsrf页面中点击“Test”按钮,则页面不会报错,正常输出如下内容:
Success!
4、X-CSRF-Token及其使用
如果使用Ajax提交POST表单,又该如何处理呢?我们可以将Token设置在meta中:
<meta name="csrf-token" content="{{ csrf_token() }}">
然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头,如果该值和Session中CSRF值相等则验证通过,否则不通过。
5、X-XSRF-Token及其使用
除此之外,Laravel还会将CSRF的值保存到名为XSRF-TOKEN的Cookie中,然后在VerifyCsrfToken中间件验证该值,当然,我们不需要手动做任何操作,一些JavaScript框架如Angular会自动帮我们实现。
6、Laravel中CSRF验证原理分析
说了这么多使用方式,接下来我们来分析下源码,看看Laravel底层到底是如何避免CSRF攻击的:
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:
public function start()
{
$this->loadSession();
if (! $this->has('_token')) {
$this->regenerateToken();
}
return $this->started = true;
}
2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEAD、GET、OPTIONS其中一种,则不做CSRF验证;
3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;
4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。
对应源码如下:
public function handle($request, Closure $next)
{
if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
return $this->addCookieToResponse($request, $next($request));
}
throw new TokenMismatchException;
}
注:tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。
您可能感兴趣的文章:
Laravel框架 HTTP路由CSRF攻击原理及其防护例子
Laravel使用支付宝进行支付开发实例
Laravel 使用银联支付进行支付开发实例
Django中如何防范CSRF跨站点请求伪造攻击
django框架和flask哪个简单?怎么用?
10个PHP常见安全问题(实例讲解)
10 个 PHP 常见安全问题(实例讲解)
如何比较python中的flask和django?
为什么我学会了Django/Flask,还是不会做Web开发?
前端安全以及如何防范详细介绍