HTTP路由实例教程(三)—— CSRF攻击原理及其防护

Laravel中避免CSRF攻击

1、什么是CSRF攻击

CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护,可查看Github上的这个项目:理解CSRF,说得比较详细和透彻。

2、Laravel中如何避免CSRF攻击

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。

Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token:

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

该段代码等同于全局帮助函数csrf_field的输出:

<?php echo csrf_field(); ?>

Blade模板引擎中还可以使用如下方式调用:

{!! csrf_field() !!}

测试代码

我们在routes.php中定义如下代码:

Route::get('testCsrf',function(){
    $csrf_field = csrf_field();
    $html = <<<GET
        <form method="POST" action="/testCsrf">
            {$csrf_field}
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

Route::post('testCsrf',function(){
    return 'Success!';
});

在浏览器中我们输入http://laravel.app:8000/testCsrf,点击“Test”按钮,浏览器输出:

Success!

则表示请求成功,否则,如果我们定义GET路由如下:

Route::get('testCsrf',function(){
    $html = <<<GET
        <form method="POST" action="/testCsrf">
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

则点击“Test”按钮,则抛出TokenMismatchException异常。

3、从CSRF验证中排除指定URL

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。

可以通过在VerifyCsrfTokenapp/Http/Middleware/VerifyCsrfToken.php中间件中将要排除的请求URL添加到$except属性数组中:

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }

这样我们刷新页面,再次在http://laravel.app:8000/testCsrf页面中点击“Test”按钮,则页面不会报错,正常输出如下内容:

Success!

4、X-CSRF-Token及其使用

如果使用Ajax提交POST表单,又该如何处理呢?我们可以将Token设置在meta中:

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头,如果该值和Session中CSRF值相等则验证通过,否则不通过。

5、X-XSRF-Token及其使用

除此之外,Laravel还会将CSRF的值保存到名为XSRF-TOKENCookie中,然后在VerifyCsrfToken中间件验证该值,当然,我们不需要手动做任何操作,一些JavaScript框架如Angular会自动帮我们实现。

6、Laravel中CSRF验证原理分析

说了这么多使用方式,接下来我们来分析下源码,看看Laravel底层到底是如何避免CSRF攻击的:

1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:

public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}

2)然后重点分析VerifyToken中间件的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEADGETOPTIONS其中一种,则不做CSRF验证;

3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;

4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。

对应源码如下:

public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}

注:tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypterdecrypt方法进行解密。

学院君 has written 593 articles

资深PHP工程师,Laravel学院院长

30 thoughts on “HTTP路由实例教程(三)—— CSRF攻击原理及其防护

          1. ADKi says:

            protected $middlewareGroups = [
            ‘web’ => [
            AppHttpMiddlewareEncryptCookies::class,
            IlluminateCookieMiddlewareAddQueuedCookiesToResponse::class,
            IlluminateSessionMiddlewareStartSession::class,
            IlluminateViewMiddlewareShareErrorsFromSession::class,
            AppHttpMiddlewareVerifyCsrfToken::class,
            ],

            ‘api’ => [
            ‘throttle:60,1’,
            ],
            ];

            这个还要 路由里面手动调用的??

          2. 王思远 says:

            这个middleware的key是web,把csrf的路由写到group理有注册web中间件的里面去
            Route::group([‘middleware’ => [‘web’]], function () {
            //

            Route::get(‘testCsrf’,function(){

            $csrf_field = csrf_field();
            $html = <<<GET

            {$csrf_field}

            GET;
            return $html;
            });

            Route::post(‘testCsrf’,function(){
            return ‘Success!’;
            });
            });

    1. 莫云云 says:

      Route::get(‘testCsrf’,[‘middleware’ => [‘web’],function(){
      $csrf_field = csrf_field();
      $html = <<<GET

      {$csrf_field}

      GET;
      return $html;
      }]);

      Route::post(‘testCsrf’,[‘middleware’ => [‘web’],function(){
      return ‘Success!’;
      }]);

  1. MT says:

    我自己弄得时候发现 token 一直没有值。其实文章忘记写了,需要你把这些 例子路由放在 中间件 middleware web 里面,因为 默认项目 的中间件 WEB 是加了 csrf 验证的

  2. 九号仓库 says:

    你好。为什么我POST会是500的错误呢?
    Route::get(‘/testPost’,function(){
    $csrf_token = csrf_token();
    $form = <<<FORM

    FORM;
    return $form;
    });

    Route::post(‘/hello’,function(){
    return “Hello Laravel[POST]!”;
    });

  3. 十月桂花香 says:

    等做到项目,用到这块知识的时候,再回头看看,学院君写的真好,让我们少走了很多弯路。其实ajax进行post传输的时候,还有更简单的,不需要在前端模板加任何东西,一行代码就可以了:$.ajaxSetup({ headers: { ‘X-XSRF-TOKEN’: $.cookie(‘XSRF-TOKEN’) }});希望对后面学习的人有用

  4. 韩飞 says:

    Route::get(‘testCsrf’,function(){ $csrf_field = csrf_field(); $html = << {$csrf_field} GET; return $html;});Route::post(‘testCsrf’,function(){ return ‘Success!’;});测试时不生成token ,去掉 $csrf_field = csrf_field();一样会执行成功 ,什么原因

    1. Kentlin8 says:

      往前面翻,有几个兄弟都回答这个问题了!— MT我自己弄得时候发现 token 一直没有值。其实文章忘记写了,需要你把这些 例子路由放在 中间件 middleware web 里面,因为 默认项目 的中间件 WEB 是加了 csrf 验证的

  5. Mojd- says:

    Route::group([‘middleware’ => [‘web’]], function () { // Route::get(‘testCsrf’,function(){ $csrf_field = csrf_field(); $html = << {$csrf_field} GET; return $html;});Route::post(‘testCsrf’,function(){ return ‘Success!’;});});访问后HTTP ERROR 500是怎么回事?

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>