지역 사회 배우다 도구 라이브러리 여가
찾다
한국어
> PHP 프레임워크 > Laravel > Laravel의 양식 위조 및 CSRF 보호

Laravel의 양식 위조 및 CSRF 보호

齐天大圣
풀어 주다: 2020-12-14 13:51:18
원래의
1650명이 탐색했습니다.

우리는 현재 가장 인기 있는 API 디자인 사양이 RestFul API 디자인이라는 것을 알고 있습니다. Restful에는 get, post, put, patch, delete라는 5가지 일반적인 HTTP 메서드가 있습니다. html 형식을 사용하여 get 또는 post 메서드를 구성하는 것은 매우 쉽지만 다른 세 가지 메서드는 지원되지 않습니다. 하지만 라라벨에서는 폼 위조 기술을 통해 위에서 언급한 나머지 3가지 방법을 사용할 수 있습니다.

추천 튜토리얼: "laravel Framework"

준비 작업

먼저 준비 작업을 해야 합니다. 양식 경로와 양식을 허용하는 경로라는 두 가지 경로를 만들어야 합니다. 

// 表单页
Route::get('form', function () {
    return view('form');
});

// 接受表单请求
Route::any('getform', function () {
    return \Illuminate\Support\Facades\Request::method();
});
로그인 후 복사

처음에는 가장 간단한 get 요청 양식을 만들었으며 내용은 다음과 같습니다. 

<form method="get" action="/getform">
    <input type="submit" value="sub" />
</form>
로그인 후 복사

제출 버튼을 클릭하면 브라우저에 'GET'이 표시되어 get 요청이 성공적으로 전송되고 수락되었음을 나타냅니다.

CSRF protection

그런 다음 게시 방법으로 변경한 다음 새로 고침하고 제출 버튼을 클릭하여 어떤 일이 일어나는지 확인합니다. "페이지 만료됨" 및 상태 코드 419 오류가 표시됩니다. Laravel이 게시 요청을 수락할 수 없는 이유는 무엇입니까? 여기에서는 laravel의 기본 CSRF 보호 메커니즘을 소개합니다.

Laravel은 사이트 간 요청 위조 공격을 방지하기 위해 CSRF 토큰 보호 기능을 제공합니다. 따라서 get 메소드 요청을 제외한 모든 메소드에 대해 다음과 같이 CSRF 토큰을 양식에 추가해야 합니다. 

<input type="hidden" name="_token" value="{{csrf_token()}}">
로그인 후 복사

또한 약어가 있습니다. 방법은 다음과 같습니다: 

@csrf
로그인 후 복사

CSRF 보호 기능 끄기

전체 사이트의 CSRF 기능을 끄는 것은 일반적으로 권장되지 않습니다. 끄는 것은 매우 간단합니다.

를 주석 처리하면 됩니다. Kernel.php 파일의 
\App\Http\Middleware\VerifyCsrfToken::class
로그인 후 복사

라인.

CSRF 화이트리스트

제3자가 제공하는 API 인터페이스와 같이 CSRF 보호가 필요하지 않은 URL 세트를 설정해야 하는 경우가 많습니다. 모든 외부 API 인터페이스에는 CSRF 보호가 필요하지 않기를 바랍니다. 그런 다음 CSRF 화이트리스트 기능을 사용하여 app/Http/Middleware/VerifyCsrfToken.php 파일에 화이트리스트를 설정할 수 있습니다. 

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        /* 这里是白名单列表 */
        &#39;http://example.com/api/*&#39;,
        &#39;api/*&#39;,
        &#39;a/b/*&#39;
    ];
}
로그인 후 복사

참고: 테스트 편의를 위해 환경 테스트 시 csrf 기능이 자동으로 꺼집니다.

Form Forgery

CSRF 보호 메커니즘을 학습한 후 다음을 살펴보겠습니다. 양식 위조를 수행하는 방법. 양식을 위조하는 것은 매우 쉽습니다. 

<input type="hidden" name="_method" value="PUT">
로그인 후 복사

를 추가하거나 

@method(&#39;PUT&#39;)
로그인 후 복사

로 축약하면 됩니다. 다음은 Put 요청을 위조하는 양식입니다


    @csrf
    @method(&#39;PUT&#39;)
로그인 후 복사

위 내용은 Laravel의 양식 위조 및 CSRF 보호의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
laravel
원천:php.cn
이전 기사:laravel에서 .env 파일의 역할 다음 기사:PHP+Laravel의 간단한 응용 튜토리얼 [ajax 사용법]
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
Livewire 게으른 자리 표시자와 함께 laravel 구성 요소를 사용하는 방법 livewire3 자리 표시자 안에 내 laravel 구성 요소의 뼈대를 추가하고 싶습니다. 지금까지 시도한 작업: Laravel 구성 요소를 포함하는 Livew...
에서 2024-04-06 20:02:10
0
2
543
Laravel 8 - /{editable_text} 경로를 /{user} 경로로 리디렉션하는 방법 사용자 프로필로 연결되는 리디렉션 경로를 만들려고 했습니다. 리디렉션 경로는 사용자 데이터베이스의 문자열/텍스트여야 하며 동일한 사용자 프로필 페이지로 리디렉션되...
에서 2024-04-06 17:26:11
0
1
410
Laravel 9.x의 일반 오류: 'id' 필드에 기본값이 없습니다. 내 앱에서 UUID를 사용하고 있으며 다음과 같이 온라인에 표시된 특성을 구현했습니다. traitUuid{protectedstaticfunctionboot():v...
에서 2024-04-06 11:12:54
0
1
350
Laravel의 Bootstrap 모드로 AWS PDF 파일 표시 https://xxx-xx-dev.s3.ap-south-1.amazonaws.com/std_check/6557122022151745398XtquBSY.pdf와 같...
에서 2024-04-04 22:16:18
0
1
1450
Flutter, Laravel 및 PHP를 사용하여 API 응답에서 "students" 배열의 "type" 속성에 액세스하는 방법은 무엇입니까? "data":{"id":9,"name":"tala","role":&quo...
에서 2024-04-04 19:25:13
0
1
288
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿