[英]Is it safe to turn off csrf in laravel?
我跟蹤錯誤日志文件,並從應用程序login
頁面繼續看到TokenMismatchException異常。
起初,我以為有人試圖使用機器人提交登錄表單來入侵我的網站。
然后我從許多IP中看到了太多。
幾周后,我想我明白了。 我以模態形式實現了登錄。 一些用戶將其標簽頁打開了很長時間,最后決定登錄。 當他們這樣做時,crsf令牌將過期。
我的問題是,轉crsf檢查是否安全?
沒有
跨站點請求偽造(CSRF)是一種攻擊,當惡意網站,電子郵件,博客,即時消息或程序導致用戶的Web瀏覽器在用戶當前所信任的站點上執行有害操作時,就會發生這種攻擊。已驗證。
我們不知道我們的網站是否成為攻擊者的目標,我們假設您擁有有關電子貨幣的網站,並且您的用戶當然可以將資金轉移給其他用戶。
這里是開發
約翰是受害者,羅恩是攻擊者。
讓我們簡單點吧,Ron向John發送有關您的電子貨幣站點的電子郵件,Ron告訴John單擊一些鏈接(惡意網站),該鏈接已經設計為將資金從John帳戶發送到Ron。
在這種情況下,John當前已通過身份驗證,John單擊鏈接,然后Bamm .. John賠了錢。
因此,要獲得CSRF保護並不安全, 除非您可以確保您的網站永遠不會成為攻擊者的目標。
關於錯誤日志,請保留原樣,因為日志有時會為您提供很多幫助。
謝謝。
ps: the media not only email, but malicious website, chat, etc. the concept is how target can open malicious website which design to send form, or etc to targeted website.
NO,它`不是安全關閉它..你會很容易受到跨站點請求偽造。
但是我認為您遇到問題的原因不是用戶登錄之前花了太多時間,因為包含csrf的cookie設置的時間直到銷毀前都是2個小時 。
如果您想這次修改,可以轉到:
vendor \\ laravel \\ framework \\ src \\ Illminate \\ Foundation \\ Http \\ Middleware \\ VerifyCsrfToken.php
您會發現一個名為addCookieToResponse()的函數,時間設置為:
時間()+ 60 * 120
這是2個小時。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.