Laravel 4 CSRF sur toutes les requêtes POST

Été à la recherche dans laravel ces derniers temps, et d'essayer de comprendre la protection CSRF qu'ils ont. Cependant, je ne peux pas le faire fonctionner. Est il possible que je puisse valider tous les post de demande soumis, avec les CSRF filtre? J'ai vu que le laravel système a:

    App::before(function($request)
{
    //
});

Comment serais-je capable de l'utiliser avec l'CSRF filtre? Été d'essayer quelques différentes choses comme

App::before(function($request)
{
    Route::filter('csrf','post');
});

Mais je suis sans doute loin d'ici.. comment serait-il? ou est-il encore possible de le faire de cette façon?

Consultez la documentation : four.laravel.com/docs/security vous Trouverez votre réponse dans le milieu de la page 🙂
FWIW, puisque c'est encore sur la première page de Google, la version la plus récente de la sécurité docs est: laravel.com/docs/security

OriginalL'auteur Dexty | 2013-06-26

  1. 23

    Vous pouvez utiliser des groupes de routage. Cela permettra d'appliquer les options spécifiées pour toutes les routes définies dans un groupe:

    Route::group(array('before' => 'csrf'), function()
{
    Route::post('/', function()
    {
    //Has CSRF Filter
    });

    Route::post('user/profile', function()
    {
    //Has CSRF Filter
    });

    Route::post(....);
});

    Pour certains itinéraires, ou si le regroupement n'est pas ce que vous voulez, vous pouvez également utiliser un filtre de modèle:

    //all routes beginning with admin, sent via a post http request will use the csrf filter
Route::when('admin/*', 'csrf', array('post'));

    REMARQUE: ce code serait aller dans votre routes.php fichier

    J'aime la dernière option de filtre - mais notez que votre filtre est appelé fscc pas csrf!

    OriginalL'auteur Blessing

  2. 30

    C'est la meilleure et la solution la plus simple:

    Route::when('*', 'csrf', array('post'));

    Pas besoin de groupe de routes ou de jouer avec les constructeurs.

    Ce droit ici est complètement génial!
    Où placez-vous cette ligne de code?
    Dans app/routes.php

    OriginalL'auteur Rafał Walczak

  3. 11

    Dans mon BaseController j'ai ceci:

    public function __construct()
{
    $this->beforeFilter('csrf', array('on' => array('post', 'delete', 'put')));
    $this->beforeFilter('ajax', array('on' => array('delete', 'put')));
}

    D'avoir de tels App::before filtre est une approche intéressante, mais je ne sais pas lequel est le meilleur?

    Il est utile d'ajouter que si vous avez besoin d'ajouter parent::__construct(); à vos contrôleurs si vous avez l'intention d'utiliser le BaseController approche.
    Il fonctionne en fait très bien pour moi, sans parent::__construct();. Ajout il en résulte un Symfony \ Component \ Debug \ Exception \ FatalErrorException: Cannot call constructor.
    Brillant. Pas besoin d'ajouter parent::_contruct() dans Laravel 4.2

    OriginalL'auteur envision

  4. 4

    Pour une raison de mettre

    $this->beforeFilter('csrf', array('on' => array('post', 'delete', 'put')));

    en BaseController.php ne fonctionne pas pour moi; j'ai fait le test avec de faux jetons. Alors je suis venu avec la solution suivante:

    routes.php:

    Route::group(array('before' => 'csrf'), function() {
    Route::resource('areas', 'AreaController');
    Route::resource('usuarios', 'UsuarioController');
    //... more stuff
});

    filters.php (csrf section de filtre):

    Route::filter('csrf', function()
{
    if ($_SERVER['REQUEST_METHOD'] === 'POST' || $_SERVER['REQUEST_METHOD'] === 'PUT') {
        if (Session::token() != Input::get('_token'))
        {
            throw new Illuminate\Session\TokenMismatchException;
        }
    }
});

    Qui a fait le tour pour moi.

    OriginalL'auteur Nancho

  5. 4

    Cela vous permettra d'appliquer CSRF à toutes les formes à travers toutes les pages de votre application

    App::before(function($request)
{
    if ($request->getMethod() === 'POST') {
        Route::callRouteFilter('csrf', [], '', $request);
    }
});

    Remarque: 'post' est le HTTP verbe POST - donc, il va couvrir Laravel post, put, delete demandes etc.

    OriginalL'auteur Laurence

  6. 0

    Le code que vous avez fourni que crée le filtre. Vous avez encore besoin de l'utiliser quelle que soit votre ROUTEUR ou de votre CONTRÔLEUR (même dans le basecontroller si besoin).

    À mon avis, en utilisant le filtre dans vos ITINÉRAIRES est le meilleur endroit pour l'utiliser.

    OriginalL'auteur Half Crazed

  7. 0

    Simplement ajouter ceci à la BaseController.

    //Be sure to call parent::__construct() when needed
public function __construct()
{
    //Perform CSRF check on all post/put/patch/delete requests
    $this->beforeFilter('csrf', array('on' => array('post', 'put', 'patch', 'delete')));
}

    Cela, ajoutez le CSRF filtre à tous les post, put, patch et supprimer la demande.

    OriginalL'auteur Victor