Larave中CSRF攻击

1、什么是csrf攻击？

csrf是跨站请求伪造（cross-site request forgery）的英文缩写\

laravel框架中避免csrf攻击很简单：larav政治考试答题技巧el自动为每个用户ssion生成了一个csrf token，该token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。【该原理和验证码的原理是一致】

laravel提供了一个全局帮助函数csrf_token来获取该token值，因此只需在视图提交表单中添加如下html代码即可在请求中带上t王羲之故事oken：

<input type=R野外烧烤21;hidden” name=”_token” value=”<?php echo csrf_token(); ?>”>

2.laravel中如何避免csrf攻击

laravel框架是默认开启了csrf认证的（必须）。

可以在表单中添加一个隐藏域：

{{csrf_token()}}：表示直接输出token值；{{csrf_field()}}：表示的是直接输出整个隐藏域的input框；

场景选择：一般在视图里用csrf_field即可，大部分的时候在javascript代码段中（特别是在做ajax异步提交的时候）可以考虑用csrf_token。

csrf验证机制与图形验证码的原理是一致的，都是将用户提交的值与与ssion中的值进行比对，如果一致则通过，否则不通过。

针对csrf_token与csrf_field的选择问题：

如果只需要使用值（例如，在ajax的post提交的时候），则使用csrf_token，如果需要的是隐藏域（在表单里），则使用csrf_field。

3、从csrf验证中排除例外路由

经典的歌 松鼠ai智适应教育 并不是所有请求都需要避免csrf攻击，比如去第三方api获取数据的请求。

可以通过在verifycsrftoken（app/http/middleware/verifycsrftoken.php）中间件中将要排除的请求url添加到$except属性数组中：