Laravel通过CSRF Token机制防止跨站请求伪造攻击,确保表单和请求来自合法用户。1. 攻击者利用用户登录状态伪造请求,Laravel通过VerifyCsrfToken中间件防御。2. 框架在会话中生成随机Token并嵌入表单隐藏字段,提交时校验一致性,失败则返回419。3. 开发者需在表单使用@csrf指令,AJAX请求通过meta标签设置X-CSRF-TOKEN头。4. 可在中间件$except属性排除webhook或API等无需验证的路由,但API建议用Sanctum等无状态认证。5. 该机制默认启用,合理配置即可有效防护,避免随意关闭。
Laravel 通过内置的 CSRF(跨站请求伪造)保护机制,有效防止恶意第三方网站在用户不知情的情况下提交表单或发起请求。这一安全功能默认集成在框架中,开发者只需正确使用即可。
CSRF(Cross-Site Request Forgery)是一种利用用户已登录的身份,在其不知情的情况下执行非本意操作的攻击方式。例如,当用户登录了某个后台系统后,访问一个恶意网站,该网站自动提交一个删除数据的 POST 请求到原系统,如果原系统没有防护,就会误认为是用户本人操作。
这类攻击的关键在于:攻击者借助用户的认证状态,绕过身份验证直接执行敏感操作。
Laravel 使用 VerifyCsrfToken 中间件来防御 CSRF 攻击。该中间件位于 app/Http/Middleware/VerifyCsrfToken.php,并默认注册在 App\Http\Kernel 的 web 中间件组中。
其核心机制如下:
这种机制确保了只有来自本应用的合法表单才能提交成功,外部站点无法获取有效的 Token,因而无法伪造请求。
在 Laravel 中启用 CSRF 保护非常简单,大部分工作已经自动完成:
<form method="POST" action="/profile">
@csrf
<!-- 其他表单项 -->
</form>
对于 AJAX 请求,需要将 CSRF Token 放在请求头中。Laravel 推荐将 Token 存储在 meta 标签中:
<meta name="csrf-token" content="{{ csrf_token() }}">
然后通过 JavaScript 设置到所有 AJAX 请求头部:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
某些接口(如第三方 webhook 或 API 路由)不适合使用 CSRF 验证。可以在 VerifyCsrfToken 中间件中设置 $except 属性来跳过验证:
namespace App\Http\Middleware;
<p>class VerifyCsrfToken extends Middleware
{
protected $except = [
'webhook/<em>',
'api/</em>',
];
}</p>注意:API 路由建议使用无状态认证机制(如 Sanctum、Passport),而不是依赖 Session 和 CSRF。
基本上就这些。Laravel 的 CSRF 保护机制设计合理、开箱即用,只要遵循规范使用 @csrf 和正确配置中间件,就能有效抵御此类攻击。关键是理解其原理,避免随意关闭防护。
以上就是Laravel怎么防止CSRF攻击_Laravel CSRF保护中间件原理与实践的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
514
收藏
