Laravel Http层 CSRF保护

什么是CSRF攻击

CSRF是跨站请求伪造（Cross-site request forgery）的英文缩写。CSRF是跨站请求伪造（CSRF）是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。

关于CSRF攻击原理及其防护，可查看Github上的这个项目：理解CSRF，说得比较详细和透彻。

Laravel 中如何避免CSRF攻击

Laravel 让应用避免遭到跨站请求伪造攻击变得简单。

Laravel框架中避免CSRF攻击很简单：Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。

Laravel提供了一个全局帮助函数csrf_token来获取该Token值，因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token：

<form method="POST" action="/profile"> 
  {{ csrf_field() }}
   ...
</form>

中间件组 web中的中间件 VerifyCsrfToken 会自动为我们验证请求输入的 token 值和 Session中存储的 token 是否一致。

从 CSRF 保护中排除指定 URL

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。可以通过在 VerifyCsrfToken 中间件中将要排除的请求URL添加到 $except 属性数组中：

<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier{
   /**
    * 指定从 CSRF 验证中排除的URL
    *
    * @var array
    */
  protected $except = [ 
   'testCsrf',
  ];
}

这样我们刷新页面，再次在http://laravel.app:8000/testCsrf页面中点击“Test”按钮，则页面不会报错，正常输出如下内容：

Success!

X-CSRF-Token 及其使用

如果使用 Ajax 提交POST表单，又该如何处理呢？我们可以将Token设置在meta中：

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交：

$.ajaxSetup({ 
  headers: {
     'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') 
  }
});

Laravel 的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头，如果该值和Session中CSRF值相等则验证通过，否则不通过。

X-XSRF-Token 及其使用

除此之外，Laravel还会将CSRF的值保存到名为XSRF-TOKEN 的 Cookie 中，然后在VerifyCsrfToken 中间件验证该值，当然，我们不需要手动做任何操作，一些JavaScript框架如Angular会自动帮我们实现。

Laravel中CSRF验证原理分析

首先

首先Laravel开启Session时会生成一个token值并存放在Session中（Illuminate\Session\Store.php 第90行start 方法），对应源码如下：

public function start()
{
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }

    return $this->started = true;
}

然后

然后重点分析VerifyToken中间件的handle方法，该方法中先通过 isReading 方法判断请求方式，如果请求方法是 HEAD、GET、OPTIONS 其中一种，则不做CSRF验证；

再然后

再通过shouldPassThrough方法判断请求路由是否在$excpet
属性数组中进行了排除，如果做了排除也不做验证；

最后

最后通过 tokensMatch 方法判断请求参数中的 CSRF TOKEN值和Session中的Token值是否相等，如果相等则通过验证，否则抛出TokenMismatchException异常。对应源码如下：

public function handle($request, Closure $next)
{
    if ($this->isReading($request) || $this->shouldPassThrough($request) || $this->tokensMatch($request)) {
        return $this->addCookieToResponse($request, $next($request));
    }

    throw new TokenMismatchException;
}

注：tokensMatch 方法首先从 Request 中获取 _token 参数值，如果请求中不包含该参数则获取X-CSRF-TOKEN 请求头的值，如果该请求头也不存在则获取X-XSRF-TOKEN 请求头的值，需要注意的是X-XSRF-TOKEN 请求头的值需要调用Encrypter 的decrypt方法进行解密。