Laravel通过CSRF Token机制防止跨站请求伪造攻击,确保表单和请求来自合法用户。1. 攻击者利用用户登录状态伪造请求,Laravel通过VerifyCsrfToken中间件防御。2. 框架在会话中生成随机Token并嵌入表单隐藏字段,提交时校验一致性,失败则返回419。3. 开发者需在表单使用@csrf指令,AJAX请求通过meta标签设置X-CSRF-TOKEN头。4. 可在中间件$except属性排除webhook或API等无需验证的路由,但API建议用Sanctum等无状态认证。5. 该机制默认启用,合理配置即可有效防护,避免随意关闭。
Laravel 通过内置的 CSRF(跨站请求伪造)保护机制,有效防止恶意第三方网站在用户不知情的情况下提交表单或发起请求。这一安全功能默认集成在框架中,开发者只需正确使用即可。
CSRF 攻击是什么
CSRF(Cross-Site Request Forgery)是一种利用用户已登录的身份,在其不知情的情况下执行非本意操作的攻击方式。例如,当用户登录了某个后台系统后,访问一个恶意网站,该网站自动提交一个删除数据的 POST 请求到原系统,如果原系统没有防护,就会误认为是用户本人操作。
这类攻击的关键在于:攻击者借助用户的认证状态,绕过身份验证直接执行敏感操作。
Laravel CSRF 中间件原理
Laravel 使用 VerifyCsrfToken 中间件来防御 CSRF 攻击。该中间件位于 app/Http/Middleware/VerifyCsrfToken.php,并默认注册在 App\Http\Kernel 的 web 中间件组中。
其核心机制如下:
- 每次响应包含表单的页面时,Laravel 自动生成一个随机的 CSRF Token,并存储在用户 Session 中。
- 前端表单中需包含这个 Token,通常通过 @csrf Blade 指令自动插入隐藏字段。
- 当表单提交时,中间件会比对请求中的 Token 与 Session 中保存的是否一致。
- 如果不匹配或缺失,请求将被拒绝,返回 419 状态码(Page Expired)。
这种机制确保了只有来自本应用的合法表单才能提交成功,外部站点无法获取有效的 Token,因而无法伪造请求。
如何正确启用和使用 CSRF 保护
在 Laravel 中启用 CSRF 保护非常简单,大部分工作已经自动完成:
- 确保 App\Http\Kernel 中,web 中间件组包含 \App\Http\Middleware\VerifyCsrfToken::class。
- 在所有 POST、PUT、PATCH、DELETE 表单中使用 @csrf 指令:
<form method="POST" action="/profile">
@csrf
<!-- 其他表单项 -->
</form>
对于 AJAX 请求,需要将 CSRF Token 放在请求头中。Laravel 推荐将 Token 存储在 meta 标签中:
<meta name="csrf-token" content="{{ csrf_token() }}">
然后通过 JavaScript 设置到所有 AJAX 请求头部:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
例外情况处理:排除不需要验证的路由
某些接口(如第三方 webhook 或 API 路由)不适合使用 CSRF 验证。可以在 VerifyCsrfToken 中间件中设置 $except 属性来跳过验证:
namespace App\Http\Middleware;
<p>class VerifyCsrfToken extends Middleware
{
protected $except = [
'webhook/<em>',
'api/</em>',
];
}</p>注意:API 路由建议使用无状态认证机制(如 Sanctum、Passport),而不是依赖 Session 和 CSRF。
基本上就这些。Laravel 的 CSRF 保护机制设计合理、开箱即用,只要遵循规范使用 @csrf 和正确配置中间件,就能有效抵御此类攻击。关键是理解其原理,避免随意关闭防护。
