Erstellen Sie eine Middleware mit PHP Artisan Make: Middleware addCSpheaders und implementieren Sie den CSP-Header in der Handlungsmethode mit einer Richtlinie wie Standard-SRC 'Self'. w?hrend der Vermeidung von "unsicherem Inline" und "unsicherer Eval" in der Produktion; 2. Registrieren Sie die Middleware weltweit im $ Middleware -Array oder wenden Sie sie auf bestimmte Routen oder Gruppen in App/http/kernel.php an; 3.. Passen Sie die Richtlinie anhand der erforderlichen Quellen an, z. B. auf Erlaubnis externer Dom?nen für Analysen oder CDNs, und verwenden Sie Nonces für Inline -Skripte anstelle von unsicheren Richtlinien; 4. Aktivieren Sie optional die Berichterstattung durch Hinzufügen einer Berichtsanweisung und erstellen Sie eine Route zu Protokollverst??en, w?hrend Sie den CSRF-Schutz für diesen Endpunkt deaktivieren. 5. Testen Sie die Richtlinie gründlich, beginnen Sie mit einer strengen Konfiguration und passen Sie sie nach Bedarf an, um Sicherheit und Funktionalit?t auszugleichen, und stellen Sie sicher, dass Ihre Laravel -Anwendung durch eine effektive CSP -Implementierung gegen XSS und Injektionsangriffe geschützt ist.

Das Einrichten einer Inhaltssicherheitsrichtlinie (CSP) in Laravel schützt Ihre Anwendung vor dem Cross-Site-Skript (XSS), der Dateninjektion und anderer clientseitiger Angriffe, indem die Ressourcen (Skripte, Stile, Bilder usw.) einschr?nken k?nnen. Laravel enth?lt nicht standardm??ig CSP, aber Sie k?nnen es effektiv mit Middleware implementieren. So wie.

1. Erstellen Sie eine CSP -Middleware

Beginnen Sie mit einer Middleware, die den Content-Security-Policy -Antworten den HTTP-Antworten hinzufügt.

Führen Sie diesen handwerklichen Befehl aus:

 PHP Artisan Make: Middleware addcSpeaders

?ffnen Sie dann die neu erstellte Datei app/Http/Middleware/AddCspHeaders.php und ?ndern Sie die handle -Methode:

 <? Php

Namespace App \ http \ Middleware;

Verschluss verwenden;

Klasse addCSpheaders
{
    ?ffentliche Funktion Handle ($ Anfrage, Schlie?ung $ $ Weitere)
    {
        $ response = $ next ($ request);

        // Wenden Sie CSP nur in der Produktion an
        if (app ()-> Umgebung (&#39;Produktion&#39;)) {
            $ csp = "Standard-src &#39;self&#39;; script-src &#39;self&#39; &#39;unsicherer&#39; &#39;unsicherer Eval&#39;; style-src &#39;self&#39; &#39;&#39; unsicherer &#39;; img-src&#39; self &#39;data&#39; data: https:; font-src &#39;self&#39;;

            $ response-> header (&#39;Inhalts-Security-Policy&#39;, $ CSP);
        }

        $ response return;
    }
}

? HINWEIS: Vermeiden Sie 'unsafe-inline' und 'unsafe-eval' in der Produktion, wenn m?glich. Verwenden Sie stattdessen Nonces oder Hashes für eine bessere Sicherheit.

2. Registrieren Sie die Middleware

Sie müssen die Middleware registrieren, damit Laravel sie auf Anfragen anwendet.

Option A: Global Middleware (gilt für alle Routen)

Fügen Sie es dem $middleware -Array in app/Http/Kernel.php :

 geschützt $ Middleware = [
    // andere Middleware
    \ App \ http \ Middleware \ addcSpheaders :: class,
];

Option B: Routenspezifische Middleware

Wenn Sie CSP nur auf bestimmten Routen m?chten, weisen Sie es einer Middleware -Gruppe oder einer einzelnen Route zu.

Fügen Sie es zun?chst einer Gruppe in Kernel.php hinzu:

 geschützte $ middlewaregroups = [
    'Web' => [
        // andere Middleware
        \ App \ http \ Middleware \ addcSpheaders :: class,
    ],
];

Oder wenden Sie es direkt auf eine Route an:

 Route :: get ('/sicher', function () {
    Rückgabeansicht ('sicher');
})-> Middleware (addCSpheaders :: class);

3.. Passen Sie die CSP -Richtlinie an

Stellen Sie die Richtlinie anhand der Anforderungen Ihrer App an. Zum Beispiel:

• Wenn Sie Google Analytics oder CDNs verwenden:

   script-src 'self' https://www.google-analytics.com 'unsicherinline';
  IMG-Src 'Selbst' https://www.google-analytics.com Daten:;

• Wenn Sie Inline -Skripte verwenden (nicht empfohlen), verwenden Sie Nonces:

  Generieren Sie eine Nonce pro Anfrage:

   $ nonce = base64_encode (Random_Bytes (16));

  Dann einstellen:

   script-src 'self' 'nonce-'. $ nonce;

  Und in Ihren Klingenvorlagen:

   <script nonce = "{{$ nonce}}">
      console.log ("das ist erlaubt");
  </script>

  übergeben Sie den Nonce über view()->share() oder Middleware.

4. Berichterstattung verwenden (optional)

Sie k?nnen auch die CSP -Berichterstattung einrichten, um Verst??e zu überwachen:

Fügen Sie report-uri oder report-to Richtlinie hinzu:

 $ csp = "Standard-src 'self'; ...; report-uri /csp-report;";

Erstellen Sie dann eine Route, um Berichte zu behandeln:

 Route :: post ('/csp-report', function () {
    \ LOG :: WARNUNG ('CSP-Versto?:', Request ()-> All ());
    Rückgabeantwort ('', 204);
})-> ohneMiddleware ([\ app \ http \ Middleware \ verifycsrftoken :: class]);

?? Deaktivieren Sie CSRF für diesen Endpunkt, da CSP-Berichte überquerisch gesendet werden.

Zusammenfassung

• ? Middleware erstellen, um den CSP -Header zu injizieren
• ? Registrieren Sie es in Kernel.php oder auf bestimmten Routen
• ? Passen Sie Richtlinien anhand Ihrer Verm?genswerte und Dom?nen an
• ? Vermeiden Sie unsichere Praktiken, wenn m?glich
• ? Verwenden Sie die Berichterstattung, um Probleme zu fangen und zu beheben

Bei einem ordnungsgem?? konfigurierten CSP wird Ihre Laravel -App erheblich widerstandsf?higer gegenüber XSS- und Injektionsangriffen. Starten Sie streng, testen Sie gründlich und passen Sie sie nach Bedarf an.

Grunds?tzlich ist es nicht schwer zu errichten - nur eine Middleware und eine sorgf?ltige Richtlinie.

Das obige ist der detaillierte Inhalt vonWie richte ich eine Inhaltssicherheitsrichtlinie (CSP) in Laravel ein?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!