CSRF保護 · laravel 5.3 中文文檔

# CSRF 保護 - [介紹](#csrf-introduction) - [CSRF 白名單](#csrf-excluding-uris) - [X-CSRF-Token](#csrf-x-csrf-token) - [X-XSRF-Token](#csrf-x-xsrf-token) <a name="csrf-introduction"></a> ## 介紹 Laravel 提供簡單的方法保護你的應用不受到 [跨站請求偽造](http://en.wikipedia.org/wiki/Cross-site_request_forgery) (CSRF) 攻擊。跨站請求偽造是一種惡意的攻擊，它利用已通過身份驗證的用戶身份來運行未經授權的命令。 Laravel 會為每個活躍用戶自動生成一個 CSRF "token" 。該 token 用來核實應用接收到的請求是通過身份驗證的用戶出于本意發送的。無論何時，當你需要定義一個 HTML 表單，你都應該在里面包含一個隱藏的 CSRF token ，只有這樣，CSRF 保護中間件才會驗證請求。你可以使用輔助函數 `csrf_field` 來生成 token 隱藏字段： <form method="POST" action="/profile"> {{ csrf_field() }} ... </form> `VerifyCsrfToken` [中間件](/docs/{{version}}/middleware)，是包含在 `web`中間件組中的，它會自動驗證請求中的 token 是否與 session 中的相匹配。 <a name="csrf-excluding-uris"></a> ## CSRF 白名單有時候你可能會希望一組 URIs 不要被 CSRF 保護。你如果使用 [Stripe](https://stripe.com) 處理付款，并且利用他們的 webhook 系統，你需要從 CSRF 保護中排除 webhook 的處理路由，因為 Stripe 不會知道傳遞什么 CSRF token 給你的路由。一般的，你不應該把這種類型的路由寫在 `routes/web.php` 文件中，因為此文件的所有路由在 `RouteServiceProvider` 中被綁定到 `web` 中間件組中（`web` 中間件組下的所有路由默認會進行 `VerifyCsrfToken` 過濾）。不過如果一定要這么做，你也可以通過在 `VerifyCsrfToken` 中間件中增加 `$except` 屬性來排除這種路由： <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'stripe/*', ]; } <a name="csrf-x-csrf-token"></a> ## X-CSRF-TOKEN 除了檢查被作為 POST 參數傳遞的 CSRF token 之外, `VerifyCsrfToken` 中間件也會檢查請求標頭中的 `X-CSRF-TOKEN`。例如，你可以將其保存在 `meta` 標簽中： <meta name="csrf-token" content="{{ csrf_token() }}"> 一旦你創建了 `meta` 標簽，你就可以使用 jQuery 之類的函數庫將 token 自動地添加到所有的請求頭中。這簡單、方便的為你的應用的 AJAX 提供了 CSRF 保護： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } }); <a name="csrf-x-xsrf-token"></a> ## X-XSRF-TOKEN Laravel 會通過響應把當前的 CSRF token 保存在 `XSRF-TOKEN` cookie 中。你可以使用該 cookie 的值來設置 `X-XSRF-TOKEN` 請求標頭。這個 cookie 通常會以更便捷的方式傳遞。因為一些 JavaScript 框架會自動將它的值設置到 `X-XSRF-TOKEN` 請求標頭中，如 Angular。 ## 譯者署名 | 用戶名 | 頭像 | 職能 | 簽名 | |---|---|---|---| | [@Macken](https://phphub.org/users/1289) | <img class="avatar-66 rm-style" src="https://dn-phphub.qbox.me/uploads/avatars/1289_1473143048.jpg?imageView2/1/w/200/h/200"> | 翻譯 | 專注Web開發，[麥肯先生](https://macken.me) My Blog |