我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。
按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:
Token只要足够随机————这样不可预测
Token是一次性的,即每次请求成功后要更新Token————这样可以增加攻击难度,增加预测难度,尤其是限制了要刷新页面,也就限制了伪造者的难度。
以下这是一个简单的csrf_token函数
//每次请求的时候就进行获取csrf_token
function csrf_token() {
$token = md5(time().uniqid(rand(100,99999), true));
$time = time();
$_SESSION['csrf_token']['token'] = $token;
$_SESSION['csrf_token']['time'] = $time;
}
//每次提交请求的时候就验证token
function check_csrf_token($expire = 120) {
if($_POST['_token'] != $_SESSION['csrf_token']['token']){
return false;
}
if(time()-$_SESSION['csrf_token']['time'] > $expire){
return false;
}
unset($_SESSION['csrf_token']);
return true;
}
而在Laravel中的实现就是,再有需要的地方,也就是路由上进行继承一个过滤器,然后每次提交请求的时候,会自动优先验证过滤器,过滤器如图:
