我跟踪我的错误日志文件,并不断从应用程序login页面看到TokenMismatchException异常。
一开始我以为有人想用机器人入侵我的网站来提交登录表单。
然后我看到太多的ip。
几个星期后,我想我明白了。我将登录实现为模态表单。有些用户的标签打开了很长时间,最后决定登录。当他们这样做时,crsf令牌已经过期。
我的问题是,它是安全的转十字检查?
NO
跨站点请求伪造(CSRF)是一种发生在以下情况的攻击类型恶意网站、电子邮件、博客、即时消息或程序原因使用户的Web浏览器在受信任的站点上执行不需要的操作
当前用户的身份验证。
我们不知道我们的网站是否成为攻击者的目标,让我们假设你有一个关于电子货币的网站,当然你的用户可以向其他用户转账。
这里是开发
John是受害者,Ron是攻击者。
让我们简单点,Ron给John发一封关于你的电子货币网站的邮件,Ron告诉John点击一些链接(恶意网站),这个链接已经设计好了从John的账户向Ron发送资金。
在本例中,John当前已通过身份验证,John单击链接,然后砰…约翰丢了钱。
所以,打开CSRF保护是不安全的,除非你可以确保你的网站永远不会成为攻击者的目标。
关于错误日志,请保持原样,因为日志有时会帮助您。
谢谢。
ps: the media not only email, but malicious website, chat, etc. the concept is how target can open malicious website which design to send form, or etc to targeted website.
不,关闭它是不安全的。您将容易受到跨站点请求伪造的攻击。
,但我认为你的问题的原因不是用户花太多的时间,直到他们登录,因为时间设置的cookie,包含csrf直到它被销毁是2小时。
,如果你想修改,你可以去:
供应商' laravel ' framework ' src ' Illminate ' ' Http '基础中间件' VerifyCsrfToken.php
,你会发现一个叫做addCookieToResponse()的函数,时间设置为:
时间()+ 60 * 120
是2小时