摘要:的處理在開啟時為每個分配一個引入中間件后在里進行核心處理判斷請求是否是這三種請求���。獲取請求中的驗證通過后將加入響應包的里然后通過驗證將請求通過遞交給下一個處理件�。
跨站點請求偽造CSRF攻擊
攻擊者盜用用戶身份��,通過偽造的身份以用戶的名義進行非法請求從而在未經(jīng)用戶許可下完成某些非法操作��。
Laravel的CSRF處理
在開啟session時為每個session分配一個token
public function regenerateToken() {
$this->put("_token", Str::random(40));
}
引入VerifyCsrfToken中間件后在handle里進行核心處理
public function handle($request, Closure $next)
{
if (
$this->isReading($request) ||
$this->runningUnitTests() ||
$this->inExceptArray($request) ||
$this->tokensMatch($request)
) {
return $this->addCookieToResponse($request, $next($request));
}
throw new TokenMismatchException;
}
- `$this->isReading()`判斷請求是否是`["HEAD", "GET", "OPTIONS"]`這三種請求�。
- `$this->runningUnitTests()`判斷程序是否正在進行單元測試。
- `$this->inExceptArray()`判斷請求是否需要進行Crsf驗證����。
- `$this->tokensMatch()`進行token驗證。
protected function tokensMatch($request)
{
// 獲取請求url中的token
$token = $this->getTokenFromRequest($request);
return is_string($request->session()->token()) &&
is_string($token) &&
hash_equals($request->session()->token(), $token);
}
protected function getTokenFromRequest($request)
{
$token = $request->input("_token") ?: $request->header("X-CSRF-TOKEN");
if (! $token && $header = $request->header("X-XSRF-TOKEN")) {
$token = $this->encrypter->decrypt($header);
}
return $token;
}
驗證通過后將csrf token加入響應包的cookie里,然后通過驗證將請求通過next遞交給下一個處理件����。
protected function addCookieToResponse($request, $response)
{
$config = config("session");
$response->headers->setCookie(
new Cookie(
"XSRF-TOKEN", $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config["lifetime"],
$config["path"], $config["domain"], $config["secure"], false
)
);
return $response;
}
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/23254.html
