Bantes
2016-11-14 09:47:01 +08:00
CSRF 防护
在 web 路由文件中所有请求方式为 PUT 、 POST 或 DELETE 的 HTML 表单都会包含一个 CSRF 令牌字段,否则,请求会被拒绝。关于 CSRF 的更多细节,可以参考其文档:
<form method="POST" action="/profile">
{{ csrf_field() }}
...
</form>
跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。 Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。
Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”,该令牌用于验证授权用户和发起请求者是否是同一个人。
任何时候在 Laravel 应用中定义 HTML 表单,都需要在表单中引入 CSRF 令牌字段,这样 CSRF 保护中间件才能够正常验证请求。想要生成包含 CSRF 令牌的隐藏输入字段,可以使用辅助函数 csrf_field 来实现