黑马lavarel教程---4、csrf验证及相关

黑马lavarel教程---4、csrf验证及相关

一、总结

一句话总结：

csrf验证就像短信验证码那样验证用户身份，这个验证是为了验证是本站的操作，用的是一个token字符串，外站如果有了这个token字符串，也是可以请求的

1、Laravel框架中避免CSRF攻击原理？

Laravel框架中避免CSRF攻击很简单：Laravel自动为【每个用户Session】生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。【该原理和验证码的原理是一致】

2、Csrf_token和Csrf_field的区别？

Csrf_token只是输出token的值，Csrf_field输出了一个整个的input隐藏域

3、如何查看csrf_token值？

全局帮助函数csrf_token来获取该Token值

Laravel提供了一个全局帮助函数csrf_token来获取该Token值，因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token：
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

4、{{csrf_token}}和{{csrf_field}}如何选择？

异步ajax的时候必须Csrf_token，表单的时候推荐Csrf_field，省事

5、外部网站怎么能在有csrf验证的情况下进行csrf攻击？

将用户对应的token值放在input隐藏域里面，请求地址还是比较好获取的

<input type="hidden" name="_token" value="U34XbEpI81k9b9FLgHZiVZUQWkbjcbbp6Z4SQUbwP">

6、从CSRF验证中排除例外路由：并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求？

可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中

protected $except=[
    //该处写需排除csrf验证的路由
    'home/test/test7'，
    'home/test/test'
]；

二、csrf验证及相关

1、什么是CSRF攻击

CSRF是跨站请求伪造（Cross-site request forgery）的英文缩写：

Laravel框架中避免CSRF攻击很简单：Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。【该原理和验证码的原理是一致】

Laravel提供了一个全局帮助函数csrf_token来获取该Token值，因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

2、Laravel中如何避免CSRF攻击

案例：通过案例实现csrf的机制验证

①创建两个路由，一个用于展示表单（get），另外处理请求（post）

②创建需要的方法

③创建需要的简易表单

效果：

④提交效果（报错页面）

结论：通过刚才的案例，说明在laravel中csrf验证机制默认是开启的。

⑤解决报错问题（如何通过csrf验证）

解决思路：带上csrf需要token值，随着请求传递给后续的方法

针对csrf_token方法的简化：{{csrf_field()}}

具体的表现形式：

两者的区别：

Csrf_token只是输出token的值

Csrf_field输出了一个整个的input隐藏域

在后期使用的时候怎么选择：大部分情况下可以自己根据情况选择。但是有一个情况下开发者是没有选择权限的，必须需要使用csrf_token的，这个情况就是使用异步提交表单的方式。

3、从CSRF验证中排除例外路由

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。

可以通过在VerifyCsrfToken（app/Http/Middleware/VerifyCsrfToken.php）中间件中将要排除的请求URL添加到$except属性数组中：

通过编写配置设置例外：

单个路由排除写法

多个元素之间通过“,”分割，遵循数组写法。

如果需要排除全部路由使用csrf的话，则可以写成：