Laravel提供了多種方式來防止CSRF攻擊。以下是一些常見的防御措施:
使用CSRF令牌:Laravel自動為每個用戶生成一個CSRF令牌,并將其存儲在會話中。在表單提交時,應將此令牌包含在請求中,并在服務器端進行驗證。驗證失敗時會拋出TokenMismatchException異常。
添加CSRF中間件:Laravel默認在App\Http\Middleware\VerifyCsrfToken中間件中實現了CSRF保護機制。該中間件會驗證請求中的CSRF令牌是否有效。您可以在中間件中配置忽略某些URL以及HTTP動詞。
使用AJAX請求時,要在請求頭中包含CSRF令牌:當使用AJAX進行POST請求時,需要在請求頭中添加X-CSRF-TOKEN字段,并將CSRF令牌作為其值。
在表單中使用Laravel提供的@csrf指令:Laravel的Blade模板引擎提供了一個@csrf指令,它會自動生成一個隱藏的輸入字段,該字段包含當前用戶的CSRF令牌。您只需在表單中包含@csrf即可。
配置例外列表:您可以將特定的URL添加到CSRF例外列表中,以允許這些URL跳過CSRF令牌驗證。您可以在App\Http\Middleware\VerifyCsrfToken中間件的$except屬性中配置例外列表。
請注意,Laravel默認情況下會為您處理CSRF保護,您只需按照上述步驟進行配置即可。
