一．表單偽造

之前一直用的 GET 請求方式，而表單可以實現 POST 方式，我們來實驗下：

先在 TaskController 創建兩個方法，一個表單頁，一個接受表單數據路由；

public function form() { return view('form'); }

//表單頁

Route::get('task/form', 'TaskController@form');

//接受表單數據

Route::any('task/getform', function () { return \Illuminate\Support\Facades\Request::method(); });

表單頁以 post 發送，路由也使用 post 接受，以下表單提交會出現 419 錯誤；

<form action="/task/getform" method="post"> 用戶名：<input type="text" name="user"> <button type="submit">提交</button> </form>

這是為了避免被跨站請求偽造攻擊，框架提供了 CSRF 令牌保護，請求時驗證；

<input type="hidden" name="_token" value="{{csrf_token()}}">

表單可以實現 POST 提交方式，那其它提交方式該如何實現呢？可以采用偽造技術；

<input type="hidden" name="_method" value="PUT">

對于 CSRF 令牌保護和表單偽造提交方式，也支持快捷方式的聲明，如下：

@csrf @method('PUT')

如果我們想讓某些 URL 關閉 csrf 驗證，可以設置 csrf 白名單;

白名單具體設置位置在：中間件目錄下的 VerifyCsrfToken.php 文件；

當然，不建議直接注釋掉這個驗證 csrf 功能的中間件；

總結

以上是生活随笔為你收集整理的八、PHP框架Laravel学习笔记——表单伪造和 CSRF 保护的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。