il URL }); }); 本文档由 Laravel 学院（LaravelAcademy.org）提供 23 5、防止 CSRF 攻击 5.1 简介 Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。跨站请求伪造是一种通过伪装授权 用户的请求来利用授信网站的恶意漏洞。 Laravel 自动为每一个被应用管理的有效用户 Session 生成一个 CSRF“令牌”，该令牌用于 csrf_token() }}"> 创建完这个 meta 标签后，就可以在 js 库如 jQuery 中添加该令牌到所有请求头，这为基于 AJAX 的应用提供了简单、方便的方式来避免 CSRF 攻击： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('c The current UNIX timestamp is {{ time() }}. 注意：Blade 的{{}}语句已经经过 PHP 的 htmlentities 函数处理以避免 XSS 攻击。 Blade & JavaScript 框架 由于很多 JavaScript 框架也是用花括号来表示要显示在浏览器中的表达式，可以使用@符 号来告诉 Blade 渲染引擎该表达式应该保持原生格式不作改动。比如：

18 * @var string */ protected $keyType = 'string'; 邮箱验证 重新发送验证路由 HTTP 方法 影响级别：中等 为了免除潜在的 CSRF 攻击，使用 Laravel 内置邮箱验证功能通过 路由器注册的 email/resend 路由请求方法已经由 GET 更新 为 POST。因此，你需要更新前端发送请求到该路由的请求类型。例 如，如 相关推荐：关于中间件底层原理可以看下 Laravel 中间件 底层源码剖析这篇教程。 CSRF 保护 简介 跨站请求伪造（CSRF）是一种通过伪装授权用户的请求来攻击授信 网站的恶意漏洞。 Laravel 通过自带的 CSRF 保护中间件让避免应用遭到跨站请求伪 造攻击变得简单：Laravel 会自动为每一个被应用管理的有效用户会 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun name="csrf-token" content="{{ csrf_token() }}"> 然后在 js 库（如 jQuery）中添加该令牌到所有请求头，这为基于 AJAX 的请求提供了简单、方便的方式来避免 CSRF 攻击： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').a ttr('content') } });

// 匹配 accounts/{account_id}/detail URL }); }); 5、CSRF 攻击 简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得 防止应用遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，该令牌用于验 证授权用户和发起请求者是否是同一个人。想要生成包含 name="csrf-token" content="{{ csrf_token() }}"> 然后在 js 库（如 jQuery）中添加该令牌到所有请求头，这为基于 AJAX 的应用提供了 简单、方便的方式来避免 CSRF 攻击： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') The current UNIX timestamp is {{ time() }}. 注：Blade 的 {{}} 语句已经经过 PHP 的 htmlentities 函数处理以避免 XSS 攻击。 Blade & JavaScript 框架 由于很多 JavaScript 框架也是用花括号来表示要显示在浏览器中的表达式，可以使 用 @ 符号来告诉 Blade 渲染引擎该表达式应该保持原生格式不作改动。比如：

服务容器我们就会在后面讲到，暂时不深 入展开了。 CSRF 保护 简介 跨站请求伪造（CSRF）是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。 Laravel 通过自带的 CSRF 保护中间件让避免应用遭到跨站请求伪造攻击变得简单：Laravel 会自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，然后将该令牌存放在 Session 中，该令牌用于 中文学习资源：http://laravelacademy.org 61 然后在 js 库（如 jQuery）中添加该令牌到所有请求头，这为基于 AJAX 的请求提供了简单、方便的方式来避免 CSRF 攻击： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') The current UNIX timestamp is {{ time() }}. 注：Blade 的 {{}} 语句已经经过 PHP 的 htmlentities 函数处理以避免 XSS 攻击。 输出存在的数据 有时候你想要输出一个变量，但是不确定该变量是否被设置，我们可以通过如下 PHP 代码： { isset($name) ? $name : 'Default' }} 除了使用三元运算符，Blade

singleton 方法将该中间件注册到容器中。 5.3 CSRF 保护 1、简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得防止应用 遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，该令牌用于验证授权用 户和发起请求者是否是同一个人。 任何时候在 Laravel 应用中定义 HTML name="csrf-token" content="{{ csrf_token() }}"> 然后在 js 库（如 jQuery）中添加该令牌到所有请求头，这为基于 AJAX 的应用提供了简单、方 便的方式来避免 CSRF 攻击： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') $request->session()->flush(); 重新生成 Session ID 重新生成 Session ID 经常用于阻止恶意用户对应用进行 session fixation 攻击（关于 session fixation 攻 击 可 参 考 这 篇 文 章 ： http://www.360doc.com/content/11/1028/16/1542811_159889635