1、什么是CSRF 攻击?
CSRF是跨站请求伪装(Cross-site request forgery)的英文缩写: Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如不是则请求失败。(原理和验证码是一致的。) Laravel提供了一个全局帮助函数csrf_token来获取Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">2、Laravel中如何避免CSRF攻击
案例:通过案例实现csrf的机制验证 1、创建两个路由,一个用于展示表单(get),另外处理请求(post) /showtable 展示表单 get /posttable 提交表单 post 
效果: 
说明Laravel框架默认是开启了csrf认证的。 修改showtable.blade.php里的代码如下: ???????
说明这个token验证是成功了,所以跨站的没办法验证通过,只能在当前站点访问。 除了csrf_token()还有一种方法csrf_field(),前者表示直接输出token值,后者表示直接输出整个隐藏域的input框; 如下: ???????
一般在视图里用csrf_field即可,大部分的时候在javascript代码片段中(特别是在做ajax异步提交的时候)可以考虑用csrf_token。
3、从CSRF验证中排除例外路由
并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。 可以通过VerifyCsrfToken(app/Http/Middleware/VerifyCsrfToken.php)中间件将要排除的请求URL添加到$except属性数组中: ???????
?
在学习的php的路上,如果你觉得本文对你有所帮助的话,那就请关注点赞评论三连吧,谢谢,你的肯定是我写博的另一个支持。