在laravel中關閉csrf是否安全？

Question

我跟蹤錯誤日志文件，並從應用程序login頁面繼續看到TokenMismatchException異常。

起初，我以為有人試圖使用機器人提交登錄表單來入侵我的網站。

然后我從許多IP中看到了太多。

幾周后，我想我明白了。 我以模態形式實現了登錄。 一些用戶將其標簽頁打開了很長時間，最后決定登錄。 當他們這樣做時，crsf令牌將過期。

我的問題是，轉crsf檢查是否安全？

Answer 1

沒有

跨站點請求偽造（CSRF）是一種攻擊，當惡意網站，電子郵件，博客，即時消息或程序導致用戶的Web瀏覽器在用戶當前所信任的站點上執行有害操作時，就會發生這種攻擊。已驗證。

我們不知道我們的網站是否成為攻擊者的目標，我們假設您擁有有關電子貨幣的網站，並且您的用戶當然可以將資金轉移給其他用戶。

這里是開發

約翰是受害者，羅恩是攻擊者。

讓我們簡單點吧，Ron向John發送有關您的電子貨幣站點的電子郵件，Ron告訴John單擊一些鏈接（惡意網站），該鏈接已經設計為將資金從John帳戶發送到Ron。

在這種情況下，John當前已通過身份驗證，John單擊鏈接，然后Bamm .. John賠了錢。

因此，要獲得CSRF保護並不安全， 除非您可以確保您的網站永遠不會成為攻擊者的目標。

關於錯誤日志，請保留原樣，因為日志有時會為您提供很多幫助。

謝謝。

ps: the media not only email, but malicious website, chat, etc. the concept is how target can open malicious website which design to send form, or etc to targeted website.

Answer 2

NO，它`不是安全關閉它..你會很容易受到跨站點請求偽造。

但是我認為您遇到問題的原因不是用戶登錄之前花了太多時間，因為包含csrf的cookie設置的時間直到銷毀前都是2個小時 。

如果您想這次修改，可以轉到：

vendor \\ laravel \\ framework \\ src \\ Illminate \\ Foundation \\ Http \\ Middleware \\ VerifyCsrfToken.php

您會發現一個名為addCookieToResponse（）的函數，時間設置為：

時間（）+ 60 * 120

這是2個小時。