Laravel框架學習(CSRF)
CSRF攻擊原理及其防護
1、CSRF攻擊是what?
CSRF是跨站請求偽造(Cross-site request forgery)的英文縮寫。具體瞭解請自行百度。
2、Laravel中如何避免CSRF攻擊
Laravel自動為每個使用者Session生成了一個CSRF Token,該Token可用於驗證登入使用者和發起請求者是否是同一人,如果不是則請求失敗。
Laravel提供了一個全域性幫助函式csrf_token(本地存放在D:\www\laravel5.1\vendor\laravel\framework\src\Illuminate\Foundation\helpers.php)來獲取該Token值,因此只需在視提交圖表單中新增如下HTML程式碼即可在請求中帶上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
該段程式碼等同於全域性幫助函式csrf_field的輸出:
<?php echo csrf_field(); ?>
在Blade模板引擎中還可以使用如下方式呼叫:
{!! csrf_field() !!}
測試程式碼
我們在routes.php中定義如下程式碼:
Route::get('testCsrf',function(){
$csrf_field = csrf_field();
$html = <<<GET
<form method="POST" action="/testCsrf">
{$csrf_field}
<input type="submit" value="Test"/>
</form>
GET;
return $html;
});
Route::post('testCsrf',function(){
return 'Success!';
});
Success!
則表示請求成功,否則,如果我們定義GET路由如下:
Route::get('testCsrf',function(){
$html = <<<GET
<form method="POST" action="/testCsrf">
<input type="submit" value="Test"/>
</form>
GET;
return $html;
});
則點選“Test”按鈕,則丟擲TokenMismatchException異常。
並不是所有請求都需要避免CSRF攻擊,比如去第三方API獲取資料的請求。如何避開驗證,如上述程式碼,如何讓其不通過CSRF驗證。Laravel的CSRF可以在中介軟體(app/Http/Middleware/VerifyCsrfToken.php)的$except陣列中加入需要排除驗證的URL。
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* 指定從 CSRF 驗證中排除的URL
*
* @var array
*/
protected $except = [
'testCsrf'
];
}
3、X-CSRF-Token及其使用
如果使用Ajax提交POST表單,又該如何處理呢?我們可以將Token設定在meta中:
<meta name="csrf-token" content="{{ csrf_token() }}">
然後在全域性Ajax中使用這種方式設定X-CSRF-Token請求頭並提交:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
Laravel的VerifyCsrfToken中介軟體會檢查X-CSRF-TOKEN請求頭,如果該值和Session中CSRF值相等則驗證通過,否則不通過。
4、Laravel中CSRF驗證原始碼分析
1)首先Laravel開啟Session時會生成一個token值並存放在Session中(Illuminate\Session\Store.php第90行start方法),對應原始碼如下:
public function start()
{
// 讀取session
$this->loadSession();
if (! $this->has('_token')) {
$this->regenerateToken();
}
return $this->started = true;
}
2)然後重點分析VerifyToken中介軟體的handle方法,該方法中先通過isReading方法判斷請求方式,如果請求方法是HEAD、GET、OPTIONS其中一種,則不做CSRF驗證;
3)再通過shouldPassThrough方法判斷請求路由是否在$excpet屬性陣列中進行了排除,如果做了排除也不做驗證;
4)最後通過tokensMatch方法判斷請求引數中的CSRF TOKEN值和Session中的Token值是否相等,如果相等則通過驗證,否則丟擲TokenMismatchException異常。
對應原始碼如下:
public function handle($request, Closure $next)
{
if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
return $this->addCookieToResponse($request, $next($request));
}
throw new TokenMismatchException;
}
注:tokensMatch方法首先從Request中獲取_token引數值,如果請求中不包含該引數則獲取X-CSRF-TOKEN請求頭的值,如果該請求頭也不存在則獲取X-XSRF-TOKEN請求頭的值,需要注意的是X-XSRF-TOKEN請求頭的值需要呼叫Encrypter的decrypt方法進行解密。