लारवेल - सीएसआरएफ सुरक्षा

CSRF वेब अनुप्रयोगों पर क्रॉस साइट फ़ॉगररी हमलों को संदर्भित करता है। CSRF हमले अनधिकृत गतिविधियाँ हैं जो सिस्टम के प्रमाणित उपयोगकर्ता करते हैं। जैसे, कई वेब एप्लिकेशन इन हमलों से ग्रस्त हैं।

लारवेल सीएसआरएफ सुरक्षा निम्न प्रकार से प्रदान करता है -

लारवेल में एक निर्मित सीएसआरएफ प्लग-इन शामिल है, जो प्रत्येक सक्रिय उपयोगकर्ता सत्र के लिए टोकन उत्पन्न करता है। ये टोकन सत्यापित करते हैं कि परिचालन या अनुरोध संबंधित प्रमाणित उपयोगकर्ता द्वारा भेजे गए हैं।

कार्यान्वयन

लारवेल में सीएसआरएफ संरक्षण के कार्यान्वयन पर इस खंड में विस्तार से चर्चा की गई है। सीएसआरएफ संरक्षण पर आगे बढ़ने से पहले निम्नलिखित बिंदु उल्लेखनीय हैं -

  • CSRF HTML अनुप्रयोगों के भीतर वेब अनुप्रयोगों के अंदर घोषित किया गया है। आपको प्रपत्र में एक छिपा हुआ सीएसआरएफ टोकन शामिल करना होगा, ताकि लारवेल के सीएसआरएफ संरक्षण मिडलवेयर अनुरोध को मान्य कर सके। वाक्य रचना नीचे दिखाया गया है -

<form method = "POST" action="/profile">
   {{ csrf_field() }}
   ...
</form>
  • आप जावास्क्रिप्ट HTTP एप्लिकेशन का उपयोग करके आसानी से जावास्क्रिप्ट संचालित अनुप्रयोगों का निर्माण कर सकते हैं, क्योंकि इसमें सीएसआरएफ टोकन हर आउटगोइंग अनुरोध शामिल है।

  • फ़ाइल अर्थात् resources/assets/js/bootstrap.js लारवेल अनुप्रयोगों के लिए सभी टोकन रजिस्टर करता है और शामिल करता है meta टैग जो संग्रहीत करता है csrf-token साथ में Axios HTTP library

CSRF टोकन के बिना फॉर्म

कोड की निम्नलिखित पंक्तियों पर विचार करें। वे एक रूप दिखाते हैं जो इनपुट के रूप में दो पैरामीटर लेता है:email तथा message

<form>
   <label> Email </label>
      <input type = "text" name = "email"/>
      <br/>
   <label> Message </label> <input type="text" name = "message"/>
   <input type = ”submit” name = ”submitButton” value = ”submit”>
</form>

उपरोक्त कोड का परिणाम नीचे दिखाया गया रूप है जिसे अंतिम उपयोगकर्ता देख सकता है -

ऊपर दिखाया गया रूप अधिकृत उपयोगकर्ता की किसी भी इनपुट जानकारी को स्वीकार करेगा। इससे वेब एप्लिकेशन को विभिन्न हमलों का खतरा हो सकता है।

कृपया ध्यान दें कि सबमिट बटन में नियंत्रक अनुभाग में कार्यक्षमता शामिल है। postContactफ़ंक्शन का उपयोग नियंत्रकों में उस संबद्ध विचारों के लिए किया जाता है। इसे नीचे दिखाया गया है -

public function postContact(Request $request) {
   return $request-> all();
}

ध्यान रखें कि फॉर्म में कोई भी सीएसआरएफ टोकन शामिल नहीं है, इसलिए इनपुट मापदंडों के रूप में साझा की गई संवेदनशील जानकारी विभिन्न हमलों से ग्रस्त हैं।

CSRF टोकन के साथ फॉर्म

कोड की निम्नलिखित पंक्तियाँ आपको CSRF टोकन का उपयोग करके फिर से तैयार किया गया फॉर्म दिखाती हैं -

<form method = ”post” >
   {{ csrf_field() }}
   <label> Email </label>
   <input type = "text" name = "email"/>
   <br/>
   <label> Message </label>
   <input type = "text" name = "message"/>
   <input type = ”submit” name = ”submitButton” value = ”submit”>
</form>

प्राप्त आउटपुट JSON को नीचे दिए गए टोकन के साथ लौटाएगा -

{
   "token": "ghfleifxDSUYEW9WE67877CXNVFJKL",
   "name": "TutorialsPoint",
   "email": "[email protected]"
}

यह सबमिट बटन पर क्लिक करने पर बना सीएसआरएफ टोकन है।