CSRF 保护
简介
跨站请求伪造是一种恶意攻击,未经授权的命令代表经过身份验证的用户执行。值得庆幸的是,Laravel 可以轻松保护您的应用程序免受跨站请求伪造 (CSRF) 攻击。
漏洞解释
如果您不熟悉跨站请求伪造,我们来讨论一下如何利用此漏洞的示例。假设您的应用程序有一个 /user/email
路由,它接受 POST
请求以更改经过身份验证的用户的电子邮件地址。最有可能的是,此路由期望 email
输入字段包含用户想要开始使用的电子邮件地址。
在没有 CSRF 保护的情况下,恶意网站可能会创建一个 HTML 表单,该表单指向您应用程序的 /user/email
路由并提交恶意用户自己的电子邮件地址
<form action="https://your-application.com/user/email" method="POST"></form> <script> document.forms[0].submit();</script>
如果恶意网站在页面加载时自动提交表单,则恶意用户只需要诱使您应用程序的不起疑的用户访问他们的网站,他们的电子邮件地址将在您的应用程序中被更改。
为了防止此漏洞,我们需要检查每个传入的 POST
、PUT
、PATCH
或 DELETE
请求,以查找恶意应用程序无法访问的秘密会话值。
防止 CSRF 请求
Laravel 会自动为应用程序管理的每个活动用户会话生成一个 CSRF “令牌”。此令牌用于验证经过身份验证的用户实际上是向应用程序发出请求的人。由于此令牌存储在用户的会话中,并且每次会话重新生成时都会更改,因此恶意应用程序无法访问它。
可以通过请求的会话或通过 csrf_token
辅助函数访问当前会话的 CSRF 令牌
use Illuminate\Http\Request; Route::get('/token', function (Request $request) { $token = $request->session()->token(); $token = csrf_token(); // ...});
每当您在应用程序中定义“POST”、“PUT”、“PATCH”或“DELETE”HTML 表单时,您都应该在表单中包含一个隐藏的 CSRF _token
字段,以便 CSRF 保护中间件可以验证请求。为方便起见,您可以使用 @csrf
Blade 指令来生成隐藏的令牌输入字段
<form method="POST" action="/profile"> @csrf <!-- Equivalent to... --> <input type="hidden" name="_token" value="{{ csrf_token() }}" /></form>
默认情况下包含在 web
中间件组中的 Illuminate\Foundation\Http\Middleware\ValidateCsrfToken
中间件会自动验证请求输入中的令牌是否与存储在会话中的令牌匹配。当这两个令牌匹配时,我们知道经过身份验证的用户是发起请求的人。
CSRF 令牌 & SPA
如果您正在构建将 Laravel 用作 API 后端的 SPA,您应该查阅 Laravel Sanctum 文档,以获取有关使用 API 进行身份验证和防止 CSRF 漏洞的信息。
从 CSRF 保护中排除 URI
有时您可能希望从 CSRF 保护中排除一组 URI。例如,如果您使用 Stripe 处理付款并利用其 webhook 系统,您需要从 CSRF 保护中排除您的 Stripe webhook 处理程序路由,因为 Stripe 不知道要向您的路由发送什么 CSRF 令牌。
通常,您应该将这些类型的路由放置在 Laravel 应用于 routes/web.php
文件中所有路由的 web
中间件组之外。但是,您还可以通过将它们的 URI 提供给应用程序的 bootstrap/app.php
文件中的 validateCsrfTokens
方法来排除特定的路由
->withMiddleware(function (Middleware $middleware) { $middleware->validateCsrfTokens(except: [ 'stripe/*', 'http://example.com/foo/bar', 'http://example.com/foo/*', ]);})
为方便起见,当运行测试时,所有路由的 CSRF 中间件都会自动禁用。
X-CSRF-TOKEN
除了检查 CSRF 令牌作为 POST 参数之外,默认情况下包含在 web
中间件组中的 Illuminate\Foundation\Http\Middleware\ValidateCsrfToken
中间件还会检查 X-CSRF-TOKEN
请求标头。例如,您可以将令牌存储在 HTML meta
标记中
<meta name="csrf-token" content="{{ csrf_token() }}">
然后,您可以指示像 jQuery 这样的库自动将令牌添加到所有请求标头。这为使用传统 JavaScript 技术的基于 AJAX 的应用程序提供了简单、方便的 CSRF 保护
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }});
X-XSRF-TOKEN
Laravel 将当前 CSRF 令牌存储在加密的 XSRF-TOKEN
Cookie 中,该 Cookie 包含在框架生成的每个响应中。您可以使用 Cookie 值来设置 X-XSRF-TOKEN
请求标头。
此 Cookie 主要作为开发人员的便利发送,因为某些 JavaScript 框架和库(如 Angular 和 Axios)会自动将其值放在同源请求的 X-XSRF-TOKEN
标头中。
默认情况下,resources/js/bootstrap.js
文件包含 Axios HTTP 库,它会自动为您发送 X-XSRF-TOKEN
标头。