HTTP路由实例教程(三)—— CSRF攻击原理及其防护

由 学院君 创建于5年前, 最后更新于 11个月前

版本号 #3

77487 views

92 likes

0 collects

1、什么是CSRF攻击

CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。关于CSRF攻击原理及其防护，可查看Github上的这个项目：理解CSRF，说得比较详细和透彻。

2、Laravel中如何避免CSRF攻击

Laravel框架中避免CSRF攻击很简单：Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。

Laravel提供了一个全局帮助函数csrf_token来获取该Token值，因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token：

该段代码等同于全局帮助函数csrf_field的输出：

在Blade模板引擎中还可以使用如下方式调用：

{!! csrf_field() !!}

测试代码

我们在routes.php中定义如下代码：

Route::get('testCsrf',function(){

$csrf_field = csrf_field();

$html = <<

{$csrf_field}

GET;

return $html;

});

Route::post('testCsrf',function(){

return 'Success!';

});

在浏览器中我们输入http://laravel.app:8000/testCsrf，点击“Test”按钮，浏览器输出：

Success！

则表示请求成功，否则，如果我们定义GET路由如下：

Route::get('testCsrf',function(){

$html = <<

GET;

return $html;

});

则点击“Test”按钮，则抛出TokenMismatchException异常。

3、从CSRF验证中排除指定URL

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。

可以通过在VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件中将要排除的请求URL添加到$except属性数组中：

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier

{

/**

* 指定从 CSRF 验证中排除的URL

*

* @var array

*/

protected $except = [

'testCsrf'

];

}

这样我们刷新页面，再次在http://laravel.app:8000/testCsrf页面中点击“Test”按钮，则页面不会报错，正常输出如下内容：

Success!

4、X-CSRF-Token及其使用

如果使用Ajax提交POST表单，又该如何处理呢？我们可以将Token设置在meta中：

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交：

$.ajaxSetup({

headers: {

'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')

}

});

Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头，如果该值和Session中CSRF值相等则验证通过，否则不通过。

5、X-XSRF-Token及其使用

除此之外，Laravel还会将CSRF的值保存到名为XSRF-TOKEN的Cookie中，然后在VerifyCsrfToken中间件验证该值，当然，我们不需要手动做任何操作，一些JavaScript框架如Angular会自动帮我们实现。

6、Laravel中CSRF验证原理分析

说了这么多使用方式，接下来我们来分析下源码，看看Laravel底层到底是如何避免CSRF攻击的：

1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法)，对应源码如下：

public function start()

{

$this->loadSession();

if (! $this->has('_token')) {

$this->regenerateToken();

}

return $this->started = true;

}

2)然后重点分析VerifyToken中间件的handle方法，该方法中先通过isReading方法判断请求方式，如果请求方法是HEAD、GET、OPTIONS其中一种，则不做CSRF验证；

3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除，如果做了排除也不做验证；

4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等，如果相等则通过验证，否则抛出TokenMismatchException异常。

对应源码如下：

public function handle($request, Closure $next)

{

if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {

return $this->addCookieToResponse($request, $next($request));

}

throw new TokenMismatchException;

}

注：tokensMatch方法首先从Request中获取_token参数值，如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值，如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值，需要注意的是X-XSRF-TOKEN请求头的值需要调用decrypt方法进行解密。