本文主要是介绍laravel5.4系列之laravel下的伪造跨站请求,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
laravel5.4系列之laravel下的伪造跨站请求
CSRF 保护
任何指向 web 中 POST, PUT 或 DELETE 路由的 HTML 表单请求都应该包含一个 CSRF 令牌,否则,这个请求将会被拒绝。更多的关于 CSRF 的说明在 CSRF 说明文档:
<form method="POST" action="/profile">{{ csrf_field() }}...
</form>
laravel中提供了简单的办法使的应用免受跨站请求伪造csrf,跨站请求使一种恶意的攻击,laravel为每个活跃的用户都自动生成了一个csrf令牌,然后用于放在html的表单当中,从而提交的时候,中间件组中的VerifyCsrfToken才可以验证是否匹配。
CSRF 白名单
如果你想要某个不需要CSRF保护的url.比如test
。因为RouteServiceProvider 适用于 routes/web.php,然后这些路由都加载相应的中间件。
这时候,只要在VerifyCsrfToken中间件中的$except属性中排除对这些路由的保护 例如:
$except=[ 'test/*',],
这篇关于laravel5.4系列之laravel下的伪造跨站请求的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!