如何解决Laravel CSRF漏洞
我的客户的安全团队曾向我询问,我们的Laravel 5应用程序容易受到CSRF漏洞的影响。我们遵循Laravel文档https://laravel.com/docs/5.8/csrf中描述的所有标准惯例,在表单中附加了隐藏字段_token
。
安全团队声称,将html表单复制并保存为name.html
并直接从浏览器执行此.html
文件时,可能会发生CSRF攻击。
这是示例表单HTML
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('','','/')</script>
<form action="ourapp.dev/profile/update" method="POST">
<input type="hidden" name="_token" value="1heEqemUlHX2vtj2YcgZfq4UGdY07H9rdeRdgtaweE" />
<input type="hidden" name="_method" value="PUT" />
<input type="hidden" name="first_name" value="John" />
<input type="hidden" name="last_name" value="Doe" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
我不确定该声明是否有效,因为我认为攻击者无法正确获取csrf令牌_token
,因为该令牌对于每个用户会话都是唯一的。
任何人都可以对此发表评论吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。