在 Laravel 上有一些选项,我们允许 Laravel 创建一个令牌并在服务器端对其进行测试以发起 CSRF 攻击。
我在 Laravel 网站上找到了this,但没有说明如何从 Controller 或从本机和真实页面进行检查。
如何检查控制器上的令牌(CSRF)?
【问题讨论】:
标签: php laravel laravel-4 csrf
在 Laravel 5 中 middleware 替换了过滤器。 CSRF 也是如此。中间件默认开启,在App\Http\Middleware\VerifyCsrfToken处理。
可以通过删除App\Http\Kernel 中的App\Http\Middleware\VerifyCsrfToken 来禁用它。如果移到$routeMiddleware...
protected $routeMiddleware = [
'auth' => 'App\Http\Middleware\Authenticate',
'auth.basic' => 'Illuminate\Auth\Middleware\AuthenticateWithBasicAuth',
'guest' => 'App\Http\Middleware\RedirectIfAuthenticated',
'csrf' => 'App\Http\Middleware\VerifyCsrfToken',
];
...可以通过将其添加到路由来有条件地使用它:
Route::post('foo', ['middleware' => 'csrf', 'uses' => 'BarController@foo']);
或者在控制器构造函数中:
public function __construct(){
$this->middleware('csrf');
}
【讨论】:
假设你使用 laravel 4.x:
您无需在控制器中检查此项。定义 before 参数告诉 laravel 自动检查。
Route::post('profile', array('before' => 'csrf', function(){
/* CSRF validated! */
}));
如果你想在token不正确的时候做点什么,你可以更改app/filters.php中的过滤器。这个:
Route::filter('csrf', function()
{
if (Session::token() != Input::get('_token'))
{
throw new Illuminate\Session\TokenMismatchException;
}
});
【讨论】: