laravel_基础_路由及CSRF防护等
来源:互联网 发布:淘宝计划书范文 编辑:程序博客网 时间:2024/05/22 01:37
【说明:本笔记参照laravel学院帖子进行整理】
1.laravel基本的路由种类很多,常用的有any、get、post。
get
Route::get('/hello',function(){ return "Hello Laravel[GET]!";});
post
Route::get('/testPost',function(){ $csrf_token = csrf_token(); $form = <<<FORM <form action="/hello" method="POST"> <input type="hidden" name="_token" value="{$csrf_token}"> <input type="submit" value="Test"/> </form>FORM; return $form;});Route::post('/hello',function(){ return "Hello Laravel[POST]!";});
any
Route::any('/hello',function(){ return "Hello Laravel!";});
2.路由参数使用
必选参数
Route::get('/hello/{name}',function($name){ return "Hello {$name}!";});
多参数必须
Route::get('/hello/{name}/by/{user}',function($name,$user){ return "Hello {$name} by {$user}!";});
注意:必选参数在function里不用给默认值,但是访问地址必须按照必选 。
可选参数
Route::get('/hello/{name?}',function($name="Laravel"){ return "Hello {$name}!";});
注意:可选参数的用法在function里必须给一个默认值否则报错。
正则约束参数
Route::get('/hello/{name?}',function($name="Laravel"){ return "Hello {$name}!";})->where('name','[A-Za-z]+');
说明:如果路由参数不是大小写字母则报错路由不存在。
全局正则约束
可以在\app\Providers\RouteServiceProvider的boot方法中做如下定义:
public function boot(Router $router){ $router->pattern('name','[A-Za-z]+'); parent::boot($router);}
说明:这样配置后所有凡是带有{name}参数的路由,name参数都需要匹配必须是大小写字母。从而不用在每一个路由定义的时候都配置这个正则匹配了。
3.路由起别名
使用as关键字来给路由起别名
Route::get('/hello/qwe',['as'=>'h_qwe',function(){ return 'Hello qwe!';}]);Route::get('/hello',function(){ return redirect()->route('h_qwe');});
这样当访问’/hello’路由的时候就会跳转到’/hello/qwe’
还可以带参数
Route::get('/hello/qwe/{id}',['as'=>'h_qwe',function($id){ return 'Hello qwe!id: '.$id;}]);Route::get('/hello',function(){ return redirect()->route('h_qwe',123);});
4.路由分组
路由分组包括中间件、命名空间、子域名、路由前缀等。使用group关键字
中间件
php artisan make:middleware AgeMiddleware
这样会在/app/Http/Middleware目录下生成一个AgeMiddleware.php文件,打开该文件编辑AgeMiddleware类的handle方法如下:
public function handle($request, Closure $next) { if($request->input('age')<18) { return redirect()->route('refuse'); } return $next($request); }
然后我们打开/app/Http/Kernal.php文件,新增AgeMiddleware到Kernel的$routeMiddleware属性:
protected $routeMiddleware = [ 'auth' => \App\Http\Middleware\Authenticate::class, 'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class, 'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class, 'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class, 'age' => \App\Http\Middleware\AgeMiddleware::class, ];
在Route.php中
Route::group(['middleware'=>'age'],function(){ Route::get('/write/yellowPage',function(){ //使用Age中间件 }); Route::get('/update/yellowPage',function(){ //使用Age中间件 });});Route::get('/age/refuse',['as'=>'refuse',function(){ return "未成年人禁止入内!";}]);
这样在浏览器输入http://dev.mylaravel.com/write/yellowPage?age=12就会跳转到http://dev.mylaravel.com/age/refuse
命名空间
默认情况下,routes.php中的定义的控制器位于App\Http\Controllers命名空间下,所以如果要指定命名空间,只需指定App\Http\Controllers之后的部分即可:
Route::group(['namespace' => 'Test'], function(){ // 控制器在 "App\Http\Controllers\Test" 命名空间下 Route::group(['namespace' => 'DOCS'], function() { // 控制器在 "App\Http\Controllers\Test\DOCS" 命名空间下 });});
子域名
子域名通过关键字‘domain’这里省略。
路由前缀
Route::group(['prefix'=>'test'],function(){ Route::get('write',function(){ return "Write test"; }); Route::get('update',function(){ return "Update test"; });});
路由前缀带参数
Route::group(['prefix'=>'test/{version}'],function(){ Route::get('write',function($version){ return "Write test V: ".$version; }); Route::get('update',function($version){ return "Update test V: ".$version; });});
访问:http://dev.mylaravel.com/test/5.2/write
5.CSRF攻击
laravel 中提供一个全局函数 csrf_token() 获取 token,你只需要在试图文件里增加:
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">
也可以直接使用全局帮助函数 csrf_field(),这个函数直接输出整个input。
{!! csrf_field() !!}
从CSRF验证中排除指定URL
也就是关闭个别的方法的csrf验证
从 app/Http/Middleware/VerifyCsrfToken.php 中间件中将要排除的请求URL添加到$except属性数组中:
/** * 指定从 CSRF 验证中排除的URL * * @var array */ protected $except = [ 'testCsrf' ];
X-CSRF-Token及其使用
加入你的表单提交需要ajax请求怎么办?那么就需要这个方法了。
这个原理是将token设置到meta标签中。
<meta name="csrf-token" content="{{ csrf_token() }}">
然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:
也就是在layout试图文件中的script代码部分添加以下代码即可。那么所有继承自layout文件的页面的ajax请求都会在这个设置的基础上进行请求。从而不用每个页面试图文件都写这个设置。当然你非要每个页面都要写也是可以的。呵呵~
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }});
Laravel的VerifyCsrfToken中间件会检查X-CSRF-TOKEN请求头,如果该值和Session中CSRF值相等则验证通过,否则不通过。
X-XSRF-Token及其使用
除此之外,Laravel还会将CSRF的值保存到名为XSRF-TOKEN的Cookie中,然后在VerifyCsrfToken中间件验证该值,当然,我们不需要手动做任何操作,一些JavaScript框架如Angular会自动帮我们实现。
laravel CSRF验证原理分析
1)首先Laravel开启Session时会生成一个token值并存放在Session中(Illuminate\Session\Store.php第90行start方法),对应源码如下:
public function start(){ $this->loadSession(); if (! $this->has('_token')) { $this->regenerateToken(); } return $this->started = true;}
2)然后重点分析VerifyCsrfToken中间件(Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php)的handle方法,该方法中先通过isReading方法判断请求方式,如果请求方法是HEAD、GET、OPTIONS其中一种,则不做CSRF验证;
3)再通过shouldPassThrough方法判断请求路由是否在$excpet属性数组中进行了排除,如果做了排除也不做验证;
4)最后通过tokensMatch方法判断请求参数中的CSRF TOKEN值和Session中的Token值是否相等,如果相等则通过验证,否则抛出TokenMismatchException异常。
对应源码如下:
/** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed * * @throws \Illuminate\Session\TokenMismatchException */ public function handle($request, Closure $next) { if ( $this->isReading($request) || $this->runningUnitTests() || $this->shouldPassThrough($request) || $this->tokensMatch($request) ) { return $this->addCookieToResponse($request, $next($request)); } throw new TokenMismatchException; }
注:tokensMatch方法首先从Request中获取_token参数值,如果请求中不包含该参数则获取X-CSRF-TOKEN请求头的值,如果该请求头也不存在则获取X-XSRF-TOKEN请求头的值,需要注意的是X-XSRF-TOKEN请求头的值需要调用Encrypter的decrypt方法进行解密。
- laravel_基础_路由及CSRF防护等
- laravel_基础_中间件
- laravel_基础_简单博客_RESTFul风格控制器(resource)
- Django中CSRF防护原理及使用
- Laravel_基础_view共享数据
- CSRF攻击即防护
- laravel HTTP路由实例教程(三)—— CSRF攻击原理及其防护
- HTTP路由实例教程(三)—— CSRF攻击原理及其防护
- laravel_基础_Request请求/Cookie/文件上传
- Spring REST 配置CSRF防护
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造-CSRF防护方法
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造CSRF防护方法
- 跨站请求伪造CSRF防护方法
- APP开发实战69-前台服务
- 备忘录模式(Memento)
- matlab-高数 二重积分(四限皆数)
- Spark批量读取Redis数据-Pipeline(Scala)
- matlab-高数 二重积分(四限含参)
- laravel_基础_路由及CSRF防护等
- Wildcard Matching
- APP开发实战70-服务的生命周期
- Junit4
- JAVAweb开发技术-------(二)Servlet技术
- matlab-高数 三重积分(六限皆数)
- Android 5.0以后获取Running App/Process
- SYSGEN记录4
- 【干货1】CTF 各类资源大整合