Proteccion CSRF
Introducción
Las falsificaciones de solicitudes entre sitios (CSRF) son un tipo de explotación maliciosa en la que se realizan comandos no autorizados en nombre de un usuario autenticado. Afortunadamente, Laravel facilita la protección de su aplicación contra ataques de falsificación de solicitudes entre sitios (CSRF).
Una Explicación de la Vulnerabilidad
En caso de que no esté familiarizado con las falsificaciones de solicitudes entre sitios, discutamos un ejemplo de cómo se puede explotar esta vulnerabilidad. Imagine que su aplicación tiene una ruta /user/email
que acepta una solicitud POST para cambiar la dirección de correo electrónico del usuario autenticado. Lo más probable es que esta ruta espere un campo de entrada de correo electrónico que contenga la dirección de correo electrónico que el usuario desea comenzar a usar.
Sin protección CSRF, un sitio web malicioso podría crear un formulario HTML que apunte a la ruta /user/email
de su aplicación y envíe la dirección de correo electrónico del usuario malicioso:
<form action="https://your-application.com/user/email" method="POST">
<input type="email" value="malicious-email@example.com">
</form>
<script>
document.forms[0].submit();
</script>
Si el sitio web malicioso envía automáticamente el formulario cuando se carga la página, el usuario malicioso solo necesita atraer a un usuario desprevenido de su aplicación para que visite su sitio web y su dirección de correo electrónico se cambiará en su aplicación.
Para evitar esta vulnerabilidad, necesitamos inspeccionar cada solicitud POST, PUT, PATCH o DELETE entrante en busca de un valor de sesión secreto al que la aplicación maliciosa no pueda acceder.
Previniendo Solicitudes CSRF
Laravel genera automáticamente un «token» CSRF para cada sesión de usuario activa gestionada por la aplicación. Este token se utiliza para verificar que el usuario autenticado es la persona que realmente está haciendo las solicitudes a la aplicación. Dado que este token se almacena en la sesión del usuario y cambia cada vez que se regenera la sesión, una aplicación maliciosa no puede acceder a él.
El token CSRF de la sesión actual se puede acceder a través de la sesión de la solicitud o mediante la función de ayuda csrf_token
:
use Illuminate\Http\Request;
Route::get('/token', function (Request $request) {
$token = $request->session()->token();
$token = csrf_token();
// ...
});
Siempre que defina un formulario HTML «POST», «PUT», «PATCH» o «DELETE» en su aplicación, debe incluir un campo CSRF _token
oculto en el formulario para que el middleware de protección CSRF pueda validar la solicitud. Para mayor comodidad, puede usar la directiva Blade @csrf
para generar el campo de token oculto:
<form method="POST" action="/profile">
@csrf
<!-- Equivalente a... -->
<input type="hidden" name="_token" value="{{ csrf_token() }}" />
</form>
El middleware Illuminate\Foundation\Http\Middleware\ValidateCsrfToken
, que se incluye en el grupo de middleware web por defecto, verificará automáticamente que el token en la entrada de la solicitud coincida con el token almacenado en la sesión. Cuando estos dos tokens coinciden, sabemos que el usuario autenticado es quien está iniciando la solicitud.
Tokens CSRF y SPAs
Si está construyendo una SPA que utiliza Laravel como backend de API, debe consultar la documentación de Laravel Sanctum para obtener información sobre cómo autenticarse con su API y protegerse contra vulnerabilidades CSRF.
Excluyendo URIs de la Protección CSRF
A veces puede desear excluir un conjunto de URIs de la protección CSRF. Por ejemplo, si está utilizando Stripe para procesar pagos y está utilizando su sistema de webhook, necesitará excluir la ruta del manejador de webhook de Stripe de la protección CSRF, ya que Stripe no sabrá qué token CSRF enviar a sus rutas.
Típicamente, debe colocar este tipo de rutas fuera del grupo de middleware web que Laravel aplica a todas las rutas en el archivo routes/web.php
. Sin embargo, también puede excluir rutas específicas proporcionando sus URIs al método validateCsrfTokens
en el archivo bootstrap/app.php
de su aplicación:
->withMiddleware(function (Middleware $middleware) {
$middleware->validateCsrfTokens(except: [
'stripe/*',
'http://example.com/foo/bar',
'http://example.com/foo/*',
]);
})
Para mayor comodidad, el middleware CSRF se desactiva automáticamente para todas las rutas al ejecutar pruebas.
X-CSRF-TOKEN
Además de verificar el token CSRF como un parámetro POST, el middleware Illuminate\Foundation\Http\Middleware\ValidateCsrfToken
, que se incluye en el grupo de middleware web por defecto, también verificará el encabezado de solicitud X-CSRF-TOKEN
. Por ejemplo, podría almacenar el token en una etiqueta meta HTML:
<meta name="csrf-token" content="{{ csrf_token() }}">
Luego, puede instruir a una biblioteca como jQuery para que agregue automáticamente el token a todos los encabezados de solicitud. Esto proporciona una protección CSRF simple y conveniente para sus aplicaciones basadas en AJAX utilizando tecnología JavaScript heredada:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
X-XSRF-TOKEN
Laravel almacena el token CSRF actual en una cookie XSRF-TOKEN encriptada que se incluye con cada respuesta generada por el framework. Puede usar el valor de la cookie para establecer el encabezado de solicitud X-XSRF-TOKEN
.
Esta cookie se envía principalmente como una conveniencia para el desarrollador, ya que algunos frameworks y bibliotecas de JavaScript, como Angular y Axios, colocan automáticamente su valor en el encabezado X-XSRF-TOKEN
en solicitudes de mismo origen.
Por defecto, el archivo resources/js/bootstrap.js
incluye la biblioteca HTTP Axios, que enviará automáticamente el encabezado X-XSRF-TOKEN
por usted.