- vừa được xem lúc

Laravel CSRF Protection

0 0 12

Người đăng: Ngô Quốc Hùng

Theo Viblo Asia

Introduction

  • CSRF (Cross-site request forgeries) là một dạng giả mạo tấn công ứng dụng thông qua request
  • Laravel xây dựng sẵn cơ chế để chống tấn công giả mạo CSRF
  • Laravel mặc định sẽ bảo vệ CSRF với các method POST, PUT, PATCH, or DELETE của route web
  • CSRF được verify trong VerifyCsrfToken middleware, khai báo trong mảng thuộc tính $middlewareGroups cho các route web và được tự động sử dụng cho các route trong file routes/web.php bởi method mapWebRoutes trong app/Providers/RouteServiceProvider.php)

An Explanation Of The Vulnerability

  • Kẻ tấn công ứng dụng có thể gửi 1 form request đến url của bạn để thực hiện các hành động độc hại
<form action="https://your-application.com/user/email" method="POST"> <input type="email" value="malicious-email@example.com">
</form> <script> document.forms[0].submit();
</script>
  • Nếu không có bảo vệ CSRF thì không thể phân biệt đâu là request giả mạo đâu là request từ ứng dụng của bạn

Preventing CSRF Requests

  • Để chống tấn công giả mạo CSRF, laravel tự động sinh ra 1 CSRF token cho mỗi user session. Token này để xác thực người dùng của ứng dụng, khi kết thúc 1 session người dùng thì token này sẽ bị xóa và tạo lại vào phiên làm việc tiếp theo.
  • token CSRF của phiên hiện tại có thể được truy cập thông qua phiên của yêu cầu hoặc thông qua chức năng trợ giúp csrf_token:
use Illuminate\Http\Request; Route::get('/token', function (Request $request) { $token = $request->session()->token(); //OR $token = csrf_token(); // ...
});
  • Sau đó với mỗi method "POST", "PUT", "PATCH", or "DELETE" của HTMLD form trong ứng dụng. bạn cần thêm 1 trường ẩn CSRF token vào trong biểu form HTML, sau đó token từ request sẽ được verify với token lưu trong sesion ở file App\Http\Middleware\VerifyCsrfToken
<form method="POST" action="/profile"> @csrf <!-- Equivalent to... --> <input type="hidden" name="_token" value="{{ csrf_token() }}" />
</form>

Excluding URIs From CSRF Protection

  • Đôi khi bạn muốn loại bỏ route khỏi bảo vệ CSRF, thông thường bạn có thể khai báo route ngoài nhóm route web trong file routes/web.php, tuy nhiên bạn có thể loại bỏ route khỏi bảo vệ CSRF bằng cách thêm url vào mảng thuộc tính $except trong file VerifyCsrfToken middleware
<?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware; class VerifyCsrfToken extends Middleware
{ /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'stripe/*', 'http://example.com/foo/bar', 'http://example.com/foo/*', ];
}

X-CSRF-TOKEN

  • Ngoài việc kiểm tra mã thông báo CSRF dưới dạng tham số POST, middleware App\Http\Middleware\VerifyCsrfToken cũng sẽ kiểm tra X-CSRF-TOKEN thông qua request header. Ví dụ: bạn có thể lưu trữ token trong thẻ meta HTML:
<meta name="csrf-token" content="{{ csrf_token() }}">
  • Khi đó bạn có thể thêm token bằng jquery cho các request header
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }
});

X-XSRF-TOKEN

  • Laravel lưu CSRF token hiện tại trong cookie XSRF-TOKEN được mã hóa đi kèm mỗi response trả về.

Bình luận

Bài viết tương tự

- vừa được xem lúc

Tìm hiểu về Resource Controller trong Laravel

Giới thiệu. Trong laravel, việc sử dụng các route post, get, group để gọi đến 1 action của Controller đã là quá quen đối với các bạn sử dụng framework này.

0 0 374

- vừa được xem lúc

Phân quyền đơn giản với package Laravel permission

Như các bạn đã biết, phân quyền trong một ứng dụng là một phần không thể thiếu trong việc phát triển phần mềm, dù đó là ứng dụng web hay là mobile. Vậy nên, hôm nay mình sẽ giới thiệu một package có thể giúp các bạn phân quyền nhanh và đơn giản trong một website được viết bằng PHP với framework là L

0 0 464

- vừa được xem lúc

Sử dụng Swagger để xây dựng API documentation

Giới thiệu về Swagger. RESTful API là một tiêu chuẩn dùng trong việc thiết kế API cho các ứng dụng web (thiết kế Web services) để tiện cho việc quản lý các resource.

0 0 1k

- vừa được xem lúc

Ví dụ CRUD với Laravel và Vuejs.

1. Cài đặt Laravel. composer create-project --prefer-dist laravel/laravel vuelaravelcrud. .

0 0 163

- vừa được xem lúc

Một số tips khi dùng laravel (Part 1)

1. Show database query in raw SQL format. DB::enableQueryLog(); // Bật tính năng query logging. DB::table('users')->get(); // Chạy truy vấn bạn muốn ghi log.

0 0 87

- vừa được xem lúc

Inertiajs - Xây dựng Single Page App không cần API

Tiêu đề là mình lấy từ trang chủ của https://inertiajs.com/ chứ không phải mình tự nghĩ ra đâu nhé :v. Lâu lâu rồi chưa động tới Laravel (dự án cuối cùng mình code là ở ver 5.8), thế nên một ngày đẹp trời lượn vào đọc docs ver 8.

0 0 242