CSRF攻击--跨站请求伪造
CSRF(Cross-site request forgery),中文名称:跨站请求伪造。
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。
Laravel框架如何处理CSRF
默认是开启的,所有的表单提交都需要有;
视图中增加一个csrf_token
<input type="hidden" name="_token" value="<?php echo csrf_token() ?>">
此隐藏域等价于此函数:csrf_field();
* 全局关闭csrf:
在app/Http/Kernel.php文件中有如下配置:
注释掉// \App\Http\Middleware\VerifyCsrfToken::class
* 局部关闭:
修改app\Http\Middleware\VerifyCsrfToken.php
$except中设置不用做验证的路由
例如:'/home/*'表示排除home下的所以路由;