在現(xiàn)代網(wǎng)路應(yīng)用程式中，跨站請(qǐng)求偽造（CSRF）攻擊已成為一種常見(jiàn)的攻擊方式，Laravel是一款流行的PHP框架，它內(nèi)建了CSRF保護(hù)機(jī)制，使用中間件可以非常方便地為應(yīng)用程式添加CSRF保護(hù)。

本文將介紹如何在Laravel中使用中間件進(jìn)行CSRF保護(hù)，並提供具體的程式碼範(fàn)例。

什麼是跨站請(qǐng)求偽造（CSRF）攻擊？

跨站請(qǐng)求偽造攻擊，英文名為Cross-Site Request Forgery，簡(jiǎn)稱CSRF，是一種透過(guò)偽造使用者身分發(fā)動(dòng)惡意請(qǐng)求的攻擊方式。

攻擊者通常透過(guò)欺騙使用者點(diǎn)擊帶有惡意連結(jié)的頁(yè)面或在受害者登入的網(wǎng)站中插入惡意腳本的方式來(lái)實(shí)施CSRF攻擊。當(dāng)受害者在登入狀態(tài)下，攻擊者發(fā)起一系列惡意請(qǐng)求（例如修改密碼、發(fā)表留言等），這些請(qǐng)求看起來(lái)對(duì)受害者來(lái)說(shuō)是合法的，但實(shí)際上這些請(qǐng)求是由攻擊者發(fā)起的，這樣就會(huì)對(duì)受害者造成一定的危害。

如何在Laravel中使用中間件進(jìn)行CSRF保護(hù)？

Laravel為我們提供了一個(gè)非常方便的機(jī)制來(lái)保護(hù)應(yīng)用程式免受CSRF攻擊。 Laravel框架中內(nèi)建了CSRF保護(hù)機(jī)制，可以透過(guò)中間件方式來(lái)實(shí)現(xiàn)。

在Laravel中，我們使用CSRF中間件來(lái)檢查POST、PUT、DELETE請(qǐng)求上的CSRF令牌是否有效。預(yù)設(shè)情況下，Laravel會(huì)在應(yīng)用程式中加入VerifyCsrfToken中間件，並自動(dòng)檢查這些要求的CSRF令牌是否有效。

如果CSRF令牌無(wú)效，Laravel將拋出一個(gè)TokenMismatchException異常，並提供一個(gè)預(yù)設(shè)的錯(cuò)誤視圖。我們也可以根據(jù)自己的需求自訂錯(cuò)誤處理方式。

配置CSRF令牌

Laravel會(huì)在每個(gè)使用者會(huì)話中為應(yīng)用程式產(chǎn)生一個(gè)CSRF令牌，我們可以在應(yīng)用config/csrf.php的設(shè)定文件中調(diào)整CSRF令牌的配置。此設(shè)定檔可讓您設(shè)定CSRF COOKIE和CSRF令牌在請(qǐng)求中的名稱。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中間件

Laravel中的VerifyCsrfToken中間件將檢查在路由中定義的任何POST、PUT或DELETE請(qǐng)求上的CSRF令牌是否有效。預(yù)設(shè)情況下，套用的routes/web.php檔案除了web中間件外，還會(huì)使用VerifyCsrfToken中間件。

可以在中間件群組中新增CSRF中間件，以便在應(yīng)用程式中的其他路由中使用。為了使用中間件保護(hù)路由，我們可以使用middleware方法將其新增至路由定義中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自訂CSRF錯(cuò)誤處理

預(yù)設(shè)情況下，如果使用VerifyCsrfToken中間件偵測(cè)到CSRF令牌不正確，Laravel將拋出一個(gè)TokenMismatchException異常，並提供一個(gè)預(yù)設(shè)的錯(cuò)誤視圖。

我們可以在app/Exceptions/Handler.php檔案中嘗試擷取CSRF異常並指定我們自己的錯(cuò)誤處理方式。下面是一個(gè)自訂CSRF異常處理程序的範(fàn)例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 處理CSRF異常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的程式碼中，我們捕獲了TokenMismatchException異常，並使用with方法將錯(cuò)誤訊息儲(chǔ)存到error快閃記憶體資料中。稍後，我們可以在視圖中使用with方法來(lái)存取這個(gè)閃存資料。

最後，我們可以在檢視中為任何需要提交POST、PUT或DELETE請(qǐng)求的表單新增CSRF令牌欄位。使用csrf_field方法即可在表單中產(chǎn)生CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

總結(jié)

在本文中，我們介紹如何在Laravel中使用中間件保護(hù)應(yīng)用免受CSRF攻擊。我們透過(guò)配置CSRF令牌、使用預(yù)設(shè)的VerifyCsrfToken中間件以及自訂CSRF錯(cuò)誤處理方式等措施，有效地提高了應(yīng)用程式的安全性。相信這些技術(shù)可以幫助您建立更安全的網(wǎng)路應(yīng)用程式。

以上是如何在Laravel中使用中間件進(jìn)行跨站請(qǐng)求偽造（CSRF）保護(hù)的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！