Laravel中的CSRF

跨站点请求伪造CSRF攻击

攻击者盗用用户身份,通过伪造的身份以用户的名义进行非法请求从而在未经用户许可下完成某些非法操作。

Laravel的CSRF处理

  1. 在开启session时为每个session分配一个token

    public function regenerateToken() {

    $this->put('_token', Str::random(40));

    }

  2. 引入VerifyCsrfToken中间件后在handle里进行核心处理

    public function handle($request, Closure $next)
    {

    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return $this->addCookieToResponse($request, $next($request));
    }
    
    throw new TokenMismatchException;

    }

- `$this->isReading()`判断请求是否是`['HEAD', 'GET', 'OPTIONS']`这三种请求。
- `$this->runningUnitTests()`判断程序是否正在进行单元测试。
- `$this->inExceptArray()`判断请求是否需要进行Crsf验证。
- `$this->tokensMatch()`进行token验证。

        protected function tokensMatch($request)
        {
            // 获取请求url中的token
            $token = $this->getTokenFromRequest($request);
    
            return is_string($request->session()->token()) &&
                   is_string($token) &&
                   hash_equals($request->session()->token(), $token);
        }

        protected function getTokenFromRequest($request)
        {
            $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
    
            if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
                $token = $this->encrypter->decrypt($header);
            }
    
            return $token;
        }
  1. 验证通过后将csrf token加入响应包的cookie里,然后通过验证将请求通过next递交给下一个处理件。

    protected function addCookieToResponse($request, $response)
    {

    $config = config('session');
    
    $response->headers->setCookie(
        new Cookie(
            'XSRF-TOKEN', $request->session()->token(), Carbon::now()->getTimestamp() + 60 * $config['lifetime'],
            $config['path'], $config['domain'], $config['secure'], false
        )
    );
    
    return $response;

    }

    原文作者:thread
    原文地址: https://segmentfault.com/a/1190000010186265
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞