Php 在laravel中关闭csrf安全吗?
我跟踪我的错误日志文件,并从appPhp 在laravel中关闭csrf安全吗?,php,laravel,Php,Laravel,我跟踪我的错误日志文件,并从applogin页面看到令牌失配异常 起初,我以为有人试图通过使用机器人提交登录表单来入侵我的网站 然后,我从许多IP上看到了太多 几周后我想我明白了。我将登录实现为一个模式表单。有些用户的标签打开了很长时间,最后决定登录。当他们这样做时,crsf令牌将过期 我的问题是,打开crsf检查是否安全?否 跨站点请求伪造(CSRF)是在以下情况下发生的一种攻击类型: 恶意网站、电子邮件、博客、即时消息或程序导致 用户的Web浏览器在受信任的站点上执行不需要的操作 用户当前已
login
页面看到令牌失配异常
起初,我以为有人试图通过使用机器人提交登录表单来入侵我的网站
然后,我从许多IP上看到了太多
几周后我想我明白了。我将登录实现为一个模式表单。有些用户的标签打开了很长时间,最后决定登录。当他们这样做时,crsf令牌将过期
我的问题是,打开crsf检查是否安全?否
跨站点请求伪造(CSRF)是在以下情况下发生的一种攻击类型:
恶意网站、电子邮件、博客、即时消息或程序导致
用户的Web浏览器在受信任的站点上执行不需要的操作
用户当前已对其进行身份验证
我们不知道我们的网站是否成为攻击者的目标,假设您有关于电子货币的网站,当然您的用户可以将资金转移给其他用户
这是剥削
约翰是受害者,罗恩是袭击者
让我们简单一点,罗恩向约翰发送一些关于你的电子货币网站的电子邮件,罗恩告诉约翰点击一些链接(恶意网站),这些链接已经被设计用于从约翰账户向罗恩发送资金
在本例中,John当前已通过身份验证,John单击链接,然后Bamm。。约翰把钱丢了
所以,使用CSRF保护是不安全的,除非你能确保你的网站永远不会成为攻击者的目标
关于错误日志,请保持原样,因为日志有时对您帮助很大
谢谢
ps:媒体不仅仅是电子邮件,还有恶意网站、聊天室等。其概念是目标如何打开恶意网站,向目标网站发送表单等。
否,关闭它是不安全的。。您将容易受到跨站点请求伪造的攻击
但我认为问题的原因并不是用户在登录前花了太多时间,因为包含csrf的cookie在销毁前的时间设置为2小时
如果您希望这次进行修改,可以转到:
vendor\laravel\framework\src\Illminate\Foundation\Http\Middleware\VerifyCsrfToken.php
您将发现一个名为addCookietoreResponse()的函数,时间设置为:
时间()+60*120
也就是2小时。这些例外情况意味着csrf正在工作。你为什么要关掉它?不,它不安全(r)。如果禁用安全功能,应用程序的安全性显然会降低