Laravel框架学习（CSRF）

CSRF攻击原理及其防护

1、CSRF攻击是what？
CSRF是跨站请求伪造（Cross-site request forgery）的英文缩写。具体了解请自行百度。

2、Laravel中如何避免CSRF攻击
Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。

Laravel提供了一个全局帮助函数csrf_token（本地存放在D:\www\laravel5.1\vendor\laravel\framework\src\Illuminate\Foundation\helpers.php）来获取该Token值，因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token：

<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">

该段代码等同于全局帮助函数csrf_field的输出：

<?php echo csrf_field(); ?>

在Blade模板引擎中还可以使用如下方式调用：

{!! csrf_field() !!}

测试代码

我们在routes.php中定义如下代码：

Route::get('testCsrf',function(){
    $csrf_field = csrf_field();
    $html = <<<GET
        <form method="POST" action="/testCsrf">
            {$csrf_field}
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

Route::post('testCsrf',function(){
    return 'Success!';
});

在浏览器中我们输入http://selfstudy.com/testCsrf，点击“Test”按钮，浏览器输出：

Success！

则表示请求成功，否则，如果我们定义GET路由如下：

Route::get('testCsrf',function(){
    $html = <<<GET
        <form method="POST" action="/testCsrf">
            <input type="submit" value="Test"/>
        </form>
GET;
    return $html;
});

则点击“Test”按钮，则抛出TokenMismatchException异常。

并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。如何避开验证，如上述代码，如何让其不通过CSRF验证。Laravel的CSRF可以在中间件（app/Http/Middleware/VerifyCsrfToken.php）的$except数组中加入需要排除验证的URL。

<?php

    namespace App\Http\Middleware;

    use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

    class VerifyCsrfToken extends BaseVerifier
    {
        /**
         * 指定从 CSRF 验证中排除的URL
         *
         * @var array
         */
        protected $except = [
            'testCsrf'
        ];
    }

这样我们在访问http://selfstudy.com/testCsrf的时候就可以正常输出了。

3、X-CSRF-Token及其使用
如果使用Ajax提交POST表单，又该如何处理呢？我们可以将Token设置在meta中：

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交：

$.ajaxSetup({
headers: {
‘X-CSRF-TOKEN’: $(‘meta[name=”csrf-token”]’).attr(‘content’)
}
});

Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头，如果该值和Session中CSRF值相等则验证通过，否则不通过。

4、Laravel中CSRF验证源码分析
1）首先Laravel开启Session时会生成一个token值并存放在Session中（Illuminate\Session\Store.php第90行start方法），对应源码如下：

public function start()
{
    // 读取session
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }
    return $this->started = true;
}

2）然后重点分析VerifyToken中间件的handle方法，该方法中先通过isReading方法判断请求方式，如果请求方法是HEAD、GET、OPTIONS其中一种，则不做CSRF验证；
3）再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除，如果做了排除也不做验证；
4）最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等，如果相等则通过验证，否则抛出TokenMismatchException异常。

对应源码如下：

public function start()
{
    // 读取session
    $this->loadSession();

    if (! $this->has('_token')) {
        $this->regenerateToken();
    }
    return $this->started = true;
}

注：tokensMatch方法首先从Request中获取_token参数值，如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值，如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值，需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。