對laravel的csrf 防御機制詳解,及form中csrf_token()的存在介紹

一、 什么是 CSRF ?

CSRF是Cross Site Request Forgery的縮寫，看起來和XSS差不多的樣子，但是其原理正好相反，XSS是利用合法用戶獲取其信息，而CSRF是偽造成合法用戶發(fā)起請求。具體操作原理看google。。

二、Laravel的CSRF防御過程

Laravel 會自動在用戶 session (根據(jù)session_id 關聯(lián)確認屬于誰) 生成存放一個隨機令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 會自動隱藏存在 csrf_token()，如果需要寫html form 則需要在表單中添加具體看下圖:

三、Token產(chǎn)生原理

通過 Illuminate\Session\Store 類的 getToken 方法獲取隨機產(chǎn)生長度為40的字符串

以上這篇對laravel的csrf 防御機制詳解,及form中csrf_token()的存在介紹就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。