开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在后台登录用户，在Laravel中没有CSRF？

在Laravel中，如果要在后台登录用户而不使用CSRF（Cross-Site Request Forgery）保护，可以通过以下步骤实现：

确保在Laravel的登录表单中没有包含CSRF令牌字段。可以通过在登录表单中删除{{ csrf_field() }}代码来实现。
在登录控制器中，将VerifyCsrfToken中间件从web中间件组中移除。可以在app/Http/Middleware/VerifyCsrfToken.php文件中找到$except属性，并将其修改为空数组[]。
在登录控制器的store方法中，手动验证用户的凭据，而不依赖于CSRF令牌。可以使用Auth门面来验证用户的凭据，例如：

use Illuminate\Support\Facades\Auth;

public function store(Request $request)
{
    $credentials = $request->only('email', 'password');

    if (Auth::attempt($credentials)) {
        // 用户登录成功
        return redirect()->intended('/dashboard');
    } else {
        // 用户登录失败
        return redirect()->back()->withErrors(['message' => '登录失败，请检查您的凭据']);
    }
}

这样，您就可以在后台登录用户而不使用CSRF保护。然而，需要注意的是，禁用CSRF保护可能会增加您的应用程序面临CSRF攻击的风险。因此，建议仅在特定情况下使用此方法，并确保在其他方面保护您的应用程序免受潜在的安全威胁。

请注意，以上答案仅适用于Laravel框架中如何在后台登录用户而不使用CSRF保护的问题。如果您需要了解其他云计算或IT互联网领域的问题，请提供具体的问题内容。

相关搜索:CSRF保护在Laravel + Sanctum api中不起作用 Laravel:在vanilla JS中随请求自动发送CSRF token Laravel在Ajax登录后返回CSRF令牌不匹配(响应代码419)Laravel登录用户在登录后立即注销保持用户在flutter中登录在laravel 4.2中后台运行函数在Laravel 5.2中启用/register页面以登录用户在Laravel 5.2中禁用登录在Laravel 5.8中登录在laravel 6中，如何从本地存储中获取每个用户登录的数据？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Laravel Vue 前后端分离使用token认证

在做前后台分离的项目中，认证是必须的，由于http是无状态的。前台用户登录成功后，后台给前台返回token。之后前台给后台发请求每次携带token。

02

解决laravel 表单提交-POST 异常的问题

Laravel框架中为避免CSRF攻击，Laravel自动为每个用户Session生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。

02

Laravel 广播系统工作原理

今天，让我们深入研究下 Laravel 的广播系统。广播系统的目的是用于实现当服务端完成某种特定功能后向客户端推送消息的功能。本文我们将学习如何使用第三方 Pusher 工具向客户端推送消息的功能。

02

程序猿必读-防范CSRF跨站请求伪造

CSRF（Cross-site request forgery，中文为跨站请求伪造）是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站，这种攻击方式虽然不是很流行，但是却难以防范，其危害也不比其他安全漏洞小。

02

laravel + passport的Aouth2.0全解

2、 oauth_clients表的Laravel Password Grant Client和Laravel Personal Access Client的区别：

03

Laravel5.1 框架登录和注册实现方法详解

本文实例讲述了Laravel5.1 框架登录和注册实现方法。分享给大家供大家参考，具体如下：

02

Laravel 表单方法伪造与 CSRF 攻击防护

有时候，我们可能需要手动定义发送表单数据所使用的 HTTP 请求方式，而 HTML 表单仅支持 GET 和 POST 两种方式，如果要使用其他的方式，则需要自己来定义实现。

04

管理后台的登录功能－重新思考

每个网站、APP都几乎必然有其管理后台，其中管理的内容则是公司的核心技术财产。而登录模块则是这扇大门，其安全的重要性可想而知。我们知道，功能越多，安全性就会越低，所以我们有必要重新审视一下，管理后台的登录界面到底需要些什么功能。

03

管理后台的登录功能－重新思考[通俗易懂]

每个网站、APP都几乎必然有其管理后台，其中管理的内容则是公司的核心技术财产。而登录模块则是这扇大门，其安全的重要性可想而知。我们知道，功能越多，安全性就会越低，所以我们有必要重新审视一下，管理后台的登录界面到底需要些什么功能。

03

在Laravel中实现使用AJAX动态刷新部分页面

AJAX相信大家都不陌生，有很多不同的Javascript Frameworks可以用来快速实现AJAX功能。那么今天我们一起来看一下如何在使用了PHP Frameworks的网站中使用AJAX来刷新页面的一小部分。

03

cell-blog 开发记录

修改 config/app.php，将 local 的值 en 改成 zh-CN(laravel-admin 自带 zh-CN)：

04

【Spring Security】Spring Security 前后端分离认证

我们初步引入了Spring Security，并使用其默认生效的HTTP基本认证来保护URL资源，本章我们使用表单认证来保护URL资源。

04

系统的讲解 - PHP WEB 安全防御

SQL注入攻击是通过WEB表单提交、URL参数提交或Cookie参数提交，将怀有恶意的“字符串”，提交到后台数据库，欺骗服务器执行恶意的SQL语句。

02

Laravel5.6框架使用CKEditor5相关配置详解

本文实例讲述了Laravel5.6框架使用CKEditor5相关配置。分享给大家供大家参考，具体如下：

04

浅谈laravel框架与thinkPHP框架的区别

2、在Laravel框架里,由于其考虑到了跨站请求伪造, 所以如果使用form表单以post方式进行传值时,如果不再form表单中加入{{csrf_field()}}则会报出TokenMethodnotfound的语法错误;

02

浅谈Session机制及CSRF攻防

在讲解CSRF攻击原理及流程之前，我想先花点时间讲讲浏览器信息传递中的Session机制。

00

Spring Security入门到实践（二）表单认证实践及原理分析

登录认证功能是我们在日常生活中使用到最多的功能之一，现在互联网应用基本都具备表单登录能力，基本的思路都是当用户访问一个需要登录后才能访问的功能，应用会提示用户没有登录，从而跳转到登录页面进行登录，登录成功之后，会自动跳转回原来访问的功能或者资源。对于现在前后端分离的应用而言，一般用户登录成功之后跳转到原来的页面还是进入到用户个人中心，一般都是由前端来决定，前端发起登录请求，后端校验用户提供的用户名和密码，如果正确，前端将拿到后端提供的用户认证信息和权限列表，由前端根据用户信息来决定下一步该如何进行。

02

Flask模拟实现CSRF攻击

运行测试，用户直接在网站 A 操作没有问题，再去网站B进行操作，发现转账不成功，因为网站 B 获取不到表单中的 csrf_token 的隐藏字段，而且浏览器有同源策略，网站B是获取不到网站A的 cookie 的，所以就解决了跨站请求伪造的问题

03

小白必学篇：CSRF漏洞总结

跨站请求伪造，也称XSRF，本质是攻击者盗用了我的身份去发送恶意请求。这里区分一下XSS，以免概念混淆。CSRF是借助用户的权限完成攻击，攻击者从头到尾没有拿到用户的权限，然后就可以在受害者不知情的情况下执行了恶意操作；而XSS是直接盗取了用户的Cookie，从而登录到用户的后台修改相关信息。（CSRF和XSS的区别）

03

Laravel表单验证

今天来说一下laravel框架的表单验证实例代码，下面一起来看看吧！一、场景用户前台登录页面，如下图二、提交方式 AJAX提交三、说明 1、laravel框架表单提交需要有CSRF验证 2、

01

laravel初次学习总结及一些细节

刚开始一周多一点的时间先把laravel的开发文档看了一遍，，感觉刚开始接触时的感觉laravel的目录与thinkphp又不一样，它们的渲染模板的方式也不一样，模型的功能又比thinkphp的强大了许多，但是最厉害的地方的是它支持composer安装许多的模块，简单方便。在laravel的文档中，学到了门面(接口)和契约(接口)，还知道了中间件，csrf保护和blade视图模板及laravel验证(过滤进入应用的 HTTP 请求提供了一套便利的机制)

02

laravel框架创建授权策略实例分析

在完成对未登录用户的限制之后，接下来我们要限制的是已登录用户的操作，当 id 为 1 的用户去尝试更新 id 为 2 的用户信息时，我们应该返回一个 403 禁止访问的异常。在 Laravel 中可以使用授权策略 (Policy)来对用户的操作权限进行验证，在用户未经授权进行操作时将返回 403 禁止访问的异常。

06

Laravel CSRF 保护

跨站点请求伪造（英语：Cross-site request forgery）是一种恶意利用，利用这种手段，代表经过身份验证的用户执行未经授权的命令。值得庆幸的是，Laravel 可以轻松保护您的应用程序免受跨站点请求伪造（CSRF）攻击。

02

laravel 实现关闭CSRF(全部关闭、部分关闭)

用了laravel就会知道其中的csrf验证功能，如果post传值的时候，没有csrf_token就会报如下的错误：

04

php-laravel Redis 广播

在很多现代 Web 应用中，WebSockets被用于实现实时更新的用户接口。当一些数据在服务器上

01

laravel与thinkphp之间的区别与优缺点

在Laravel框架里，使用return view()来渲染模版；而ThinkPHP里则使用了$this->display()的方式渲染模版。

02

怎样实现登录？| Cookie or JWT

先问小伙伴们一个问题，登录难吗？“登录有什么难得？输入用户名和密码，后台检索出来，校验一下不就行了。”凡是这样回答的小伙伴，你明显就是产品思维，登录看似简单，用户名和密码，后台校验一下，完事了。但是，登录这个过程涵盖的知识点是非常多的，绝不是检索数据，校验一下这么简单的事。

01

Laravel和Thinkphp有什么区别,哪个框架好用

Laravel和Thinkphp这两个php框架对于php程序员都不陌生，新手可能对Thinkphp比较熟，也是国内比较出名的开源框架，更高级的Laravel一般有点经验的才使用。

02

详解将数据从Laravel传送到vue的四种方式

在过去的两三年里，我一直在研究同时使用 Vue 和 Laravel 的项目，在每个项目开发的开始阶段，我必须问自己 “我将如何将数据从 Laravel 传递到 Vue ？”。这适用于 Vue 前端组件与 Blade 模板紧密耦合的两个应用程序，以及运行完全独立于 Laravel 后端的单页应用程序。

03

laravel的csrf token 的了解及使用

之前在项目中因为没有弄清楚csrf token的使用，导致发请求的话，一直请求失败，今天就一起来看一下csrf的一些东西。

02

Laravel5.7框架安装与使用学习笔记图文详解

本文实例讲述了Laravel5.7框架安装与使用。分享给大家供大家参考，具体如下：

03

整理关于web项目如何防止CSRF和XSS攻击的方法

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

02

怎样实现登录？| Cookie or JWT

先问小伙伴们一个问题，登录难吗？“登录有什么难得？输入用户名和密码，后台检索出来，校验一下不就行了。”凡是这样回答的小伙伴，你明显就是产品思维，登录看似简单，用户名和密码，后台校验一下，完事了。但是，登录这个过程涵盖的知识点是非常多的，绝不是检索数据，校验一下这么简单的事。

02

全局梳理、分析、总结 laravel 的核心概念

Laravel 是 Taylor Otwell 开发的一款基于 PHP 语言的 Web 开源框架，采用了 MVC 的架构模式。

04

被解放的姜戈06 假作真时

之前了解了：创建Django项目数据库模板表格提交 admin管理页面上面的功能模块允许我们做出一个具有互动性的站点，但无法验证用户的身份。我们这次了解用户验证部分。通过用户验证，我们可以根据用户的身份，提供不同的服务。一个Web应用的用户验证是它的基本组成部分。我们在使用一个应用时，总是从“登录”开始，到“登出”结束。另一方面，用户验证又和网站安全、数据库安全息息相关。HTTP协议是无状态的，但我们可以利用储存在客户端的cookie或者储存在服务器的session来记录用户的访问。 Djan

06

CSRF的原理与防御 | 你想不想来一次CSRF攻击？

CSRF是Cross Site Request Forgery的缩写，中文翻译过来是跨站请求伪造。这个漏洞往往能给用户带来巨大的损失，CSRF在等保安全检测中，也是一个非常重要的检测项。但是在我们的网站中，大部分都没有做CSRF的防御，小伙伴们想不想来一次CSRF攻击，体验一下做黑客感觉？如果想要做黑客，可要仔细的往下看哟~

03

Go 语言安全编程系列（一）：CSRF 攻击防护

在 Go Web 编程中，我们可以基于第三方 gorilla/csrf 包避免 CSRF 攻击，和 Laravel 框架一样，这也是一个基于 HTTP 中间件避免 CSRF 攻击的解决方案，其中包含的中间件名称是 csrf.Protect。

04

安全测试基础知识

web攻击的一种，通过对网页注入可执行代码（html代码或JS代码）成功被浏览器执行

03

Laravel开发微信公众号【订阅号】后台的一些事情

对电脑这方面感兴趣的童鞋可能很清楚有一些“套路”，那就是回复某个关键词，获取某些素材、软件的下载地址。

00

难点理解&面试题问答

以包的形式去创建蓝图的时候更加的灵活,我们需要创建一个包,然后发现文件夹下自动的多出了一个__init__文件,这个文件是用来进行初始化的,在导入的时候会自动将这个文件执行一遍,会初始化变量或者对象.如果是将包比做一个类的话,那么这个文件就相当于它的初始化方法.(我们在这个文件中创建蓝图对象)

02

Laravel+Layer 图片上传功能整理

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/details/78961365

02

关于防CSRF你需要了解的另一种方法

网站通常会使用 cookie来记录用户的登录状态，但并非安全，因为 cookie被允许在第三方网站（也不仅限于第三方）发起的请求中携带，因此利用这一点可以达到 CSRF 攻击。本文不再对 CSRF 的原理作过多阐述，点击这里了解CSRF 。如果别人问起防 CSRF 的方法有哪些，大家通常会说出：Token + Referer，该方案在业界已经非常成熟。当一个问题有了解决办法后，就很人有人会去了解别的方案，我想听听不同的声音。

02

flask flask-login实现用户登陆认证的详细过程(flask 53)

用户认证的原理在了解使用Flask来实现用户认证之前，我们首先要明白用户认证的原理。假设现在我们要自己去实现用户认证，需要做哪些事情呢？

02

Laravel5.8使用LayUI上传并显示图片操作

这个问题已经困扰好久了，唉比较难受，本来学习laravel使用的是Bootstrap，之后用的是Uploadify进行上传图片，无奈，这个技术需要Flash的支持，一直没有实现，后来思考再三，还是选择用Layui后台框架进行设计，emm~~~毕竟用他的组件可以实现和Uploadify一样的无刷新上传图片的效果，但是比较难受的就是Laravel使用Layui进行回调函数显示图片的时候，Laravel总是莫名的增加了域名之外的控制器及方法名称，比较难受，不，是特别难受，从网上及QQ群大神中也没有问出个所以然，不过，我最后实现的是用的比较笨的方式，就是拼接为字符串的形式进行链接返回调用，（使用前台添加域名的方式实现了emm~~）好了话不多说，看看实现的代码吧！

03

对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍

CSRF是Cross Site Request Forgery的缩写，看起来和XSS差不多的样子，但是其原理正好相反，XSS是利用合法用户获取其信息，而CSRF是伪造成合法用户发起请求。具体操作原理看google。。

02

Spring Security笔记：使用数据库进行用户认证(form login using database)

在前一节，学习了如何自定义登录页，但是用户名、密码仍然是配置在xml中的，这样显然太非主流，本节将学习如何把用户名/密码/角色存储在db中，通过db来实现用户认证

01

【Laravel系列3.4】中间件在路由与控制器中的应用

中间件是什么？在传统框架的年代，很少会有中间件这个概念。我最早接触这个概念其实是在学习 MySQL 的时候，了解过 MyCat 这类的组件也被称为中间件。既然是中间，那么它就是一个夹在应用和调用中间的东西。我们还是以请求为例，一个请求要经过接收、处理、返回这三个过程，而中间件，就可以看作是夹在这三个操作中间的一些操作。比如说，我们的请求发过来，在没有到达路由或者控制器的时候，就可以通过中间件做一些预判，像参数合法不合法、登录状态的判断之类的。就像我们用 Laravel 做业务开发的时候，经常需要自己写的的中间件就是处理登录信息和解决跨域问题的中间件（Laravel8有自己的跨域组件了）。

05

Spring Security权限控制框架使用指南

在常用的后台管理系统中，通常都会有访问权限控制的需求，用于限制不同人员对于接口的访问能力，如果用户不具备指定的权限,则不能访问某些接口。

00

鸡肋CSRF和Self-XSS组合的变废为宝

昨天同事问了我一个问题：登录页面的CSRF有用么？我也没怎么想，就回了句：没用。而事实上一般 SRC 也不会收这种漏洞，因为这种 CSRF 一般情况下都不会造成什么危害，甚至也不认为是漏洞（之前挖 TSRC 的时候，只要不是敏感操作并且会造成实际危害损失的 CSRF 也一般不会收）。然而刚好上午同事问完，我下午做渗透项目的时候就碰到了一个利用场景了，真的是啪啪啪的打脸。鸡肋CSRF的场景：是的，就是上面说的，用户登录的功能没有添加 Token 或是验证 Referer 或是添加验证码，所以存在了这个

06

Laravel5.3之Two-Factor Authentication神器——Duo

说明：本文主要研究利用Duo来实现双重认证，Two-Factor Authentication就是除了username-password这种登录认证之外，还使用第二层安全认证，引用官网What is

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭