在現(xiàn)代網(wǎng)路應(yīng)用程式中，跨站請求偽造（CSRF）攻擊已成為一種常見的攻擊方式，Laravel是一款流行的PHP框架，它內(nèi)建了CSRF保護機制，使用中間件可以非常方便地為應(yīng)用程式添加CSRF保護。

本文將介紹如何在Laravel中使用中間件進行CSRF保護，並提供具體的程式碼範(fàn)例。

什麼是跨站請求偽造（CSRF）攻擊？

跨站請求偽造攻擊，英文名為Cross-Site Request Forgery，簡稱CSRF，是一種透過偽造使用者身分發(fā)動惡意請求的攻擊方式。

攻擊者通常透過欺騙使用者點擊帶有惡意連結(jié)的頁面或在受害者登入的網(wǎng)站中插入惡意腳本的方式來實施CSRF攻擊。當(dāng)受害者在登入狀態(tài)下，攻擊者發(fā)起一系列惡意請求（例如修改密碼、發(fā)表留言等），這些請求看起來對受害者來說是合法的，但實際上這些請求是由攻擊者發(fā)起的，這樣就會對受害者造成一定的危害。

如何在Laravel中使用中間件進行CSRF保護？

Laravel為我們提供了一個非常方便的機制來保護應(yīng)用程式免受CSRF攻擊。 Laravel框架中內(nèi)建了CSRF保護機制，可以透過中間件方式來實現(xiàn)。

在Laravel中，我們使用CSRF中間件來檢查POST、PUT、DELETE請求上的CSRF令牌是否有效。預(yù)設(shè)情況下，Laravel會在應(yīng)用程式中加入VerifyCsrfToken中間件，並自動檢查這些要求的CSRF令牌是否有效。

如果CSRF令牌無效，Laravel將拋出一個TokenMismatchException異常，並提供一個預(yù)設(shè)的錯誤視圖。我們也可以根據(jù)自己的需求自訂錯誤處理方式。

配置CSRF令牌

Laravel會在每個使用者會話中為應(yīng)用程式產(chǎn)生一個CSRF令牌，我們可以在應(yīng)用config/csrf.php的設(shè)定文件中調(diào)整CSRF令牌的配置。此設(shè)定檔可讓您設(shè)定CSRF COOKIE和CSRF令牌在請求中的名稱。

<?php

return [

    /*
    |--------------------------------------------------------------------------
    | CSRF Cookie Name
    |--------------------------------------------------------------------------
    |
    | The name of the cookie used to store the CSRF token.
    |
    */

    'cookie' => 'XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Header Name
    |--------------------------------------------------------------------------
    |
    | The name of the CSRF header used to store the CSRF token.
    |
    */

    'header' => 'X-XSRF-TOKEN',

    /*
    |--------------------------------------------------------------------------
    | CSRF Token Expiration
    |--------------------------------------------------------------------------
    |
    | The number of minutes that the CSRF token should be considered valid.
    |
    */

    'expire' => 60,

];

使用CSRF中間件

Laravel中的VerifyCsrfToken中間件將檢查在路由中定義的任何POST、PUT或DELETE請求上的CSRF令牌是否有效。預(yù)設(shè)情況下，套用的routes/web.php檔案除了web中間件外，還會使用VerifyCsrfToken中間件。

可以在中間件群組中新增CSRF中間件，以便在應(yīng)用程式中的其他路由中使用。為了使用中間件保護路由，我們可以使用middleware方法將其新增至路由定義中，如下所示：

Route::middleware(['web', 'csrf'])->group(function () {
    //
});

自訂CSRF錯誤處理

預(yù)設(shè)情況下，如果使用VerifyCsrfToken中間件偵測到CSRF令牌不正確，Laravel將拋出一個TokenMismatchException異常，並提供一個預(yù)設(shè)的錯誤視圖。

我們可以在app/Exceptions/Handler.php檔案中嘗試擷取CSRF異常並指定我們自己的錯誤處理方式。下面是一個自訂CSRF異常處理程序的範(fàn)例：

<?php

namespace AppExceptions;

use Exception;
use IlluminateFoundationExceptionsHandler as ExceptionHandler;
use IlluminateSessionTokenMismatchException;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that should be reported.
     *
     * @var array
     */
    protected $dontReport = [
        TokenMismatchException::class,
    ];

    /**
     * Report or log an exception.
     *
     * @param  Exception  $exception
     * @return void
     *
     * @throws Exception
     */
    public function report(Exception $exception)
    {
        parent::report($exception);
    }

    /**
     * Render an exception into an HTTP response.
     *
     * @param  IlluminateHttpRequest  $request
     * @param  Exception  $exception
     * @return IlluminateHttpResponse
     *
     * @throws Exception
     */
    public function render($request, Exception $exception)
    {
        if ($exception instanceof TokenMismatchException) {
            // 處理CSRF異常
            return redirect()
                ->back()
                ->withInput($request->input())
                ->with('error', 'CSRF Token Mismatch');
        }

        return parent::render($request, $exception);
    }

}

在上面的程式碼中，我們捕獲了TokenMismatchException異常，並使用with方法將錯誤訊息儲存到error快閃記憶體資料中。稍後，我們可以在視圖中使用with方法來存取這個閃存資料。

最後，我們可以在檢視中為任何需要提交POST、PUT或DELETE請求的表單新增CSRF令牌欄位。使用csrf_field方法即可在表單中產(chǎn)生CSRF令牌字段，如下所示：

<form method="POST" action="/example">
    {{ csrf_field() }}

    <!-- Your form fields go here... -->

    <button type="submit">Submit</button>
</form>

總結(jié)

在本文中，我們介紹如何在Laravel中使用中間件保護應(yīng)用免受CSRF攻擊。我們透過配置CSRF令牌、使用預(yù)設(shè)的VerifyCsrfToken中間件以及自訂CSRF錯誤處理方式等措施，有效地提高了應(yīng)用程式的安全性。相信這些技術(shù)可以幫助您建立更安全的網(wǎng)路應(yīng)用程式。

以上是如何在Laravel中使用中間件進行跨站請求偽造（CSRF）保護的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！