Установить флаг httpOnly для токена CSRF в Laravel

Question

Установить флаг httpOnly для токена CSRF в Laravel

Я создаю приложение в Laravel 5.1 для клиента. После того, как я закончил приложение, я получил отчет о пентесте, который говорит мне, чтобы добавить флаг HttpOnly. Я добавил 'secure' => true и 'http_only' => true в app/config/session.php. Флаг httpOnly устанавливается для всех сеансов, кроме сеанса XSRF-TOKEN. Как я могу установить этот флаг?

12

php csrf laravel-5.1 httponly

Источник

user1424653 23 ноя '15 в 12:02

5 ответов

Другие вопросы по тегам php csrf laravel-5.1 httponly

user5907695 10 фев '16 в 10:19 2016-02-10 10:19 · Answer 1 · 2016-02-10 10:19

Вы можете перезаписать метод addCookieToResponse($request, $response) в App\Http\Middleware\VerifyCsrfToken

/**
 * Add the CSRF token to the response cookies.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Illuminate\Http\Response  $response
 * @return \Illuminate\Http\Response
 */
protected function addCookieToResponse($request, $response)
{
    $response->headers->setCookie(
        new Cookie('XSRF-TOKEN',
            $request->session()->token(),
            time() + 60 * 120,
            '/',
            null,
            config('session.secure'),
            false)
    );

    return $response;
}

И не забудьте добавить

use Symfony\Component\HttpFoundation\Cookie;

user3775413 30 июн '21 в 14:02 2021-06-30 14:02 · Answer 2 · 2021-06-30 14:02

Вы должны использовать в .env

      SESSION_DOMAIN=
SESSION_SECURE_COOKIE=true
SESSION_HTTP_ONLY=true
SESSION_SAME_SITE=strict

1

Источник

user3775413 30 июн '21 в 14:02

user10540872 24 мар '20 в 11:33 2020-03-24 11:33 · Answer 3 · 2020-03-24 11:33

Это можно исправить. Если вам нужен только http для токена, добавьте это в промежуточное ПО VerifyCsrfToken:

/**
 * Add the CSRF token to the response cookies.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Symfony\Component\HttpFoundation\Response  $response
 * @return \Symfony\Component\HttpFoundation\Response
 */
protected function addCookieToResponse($request, $response)
{
    $config = config('session');

    $response->headers->setCookie(
        new Cookie(
            'XSRF-TOKEN', $request->session()->token(), $this->availableAt(60 * $config['lifetime']),
            $config['path'], $config['domain'], $config['secure'], true, false, $config['same_site'] ?? null
        )
    );

    return $response;
}

user2115377 23 ноя '15 в 14:14 2015-11-23 14:14 · Answer 4 · 2015-11-23 14:14

Для токена CSRF нет такой вещи, как флаг httpOnly, только для файлов cookie.

Нам нужна дополнительная информация, например, ошибка, которую вы получаете, или какой-то код, как вы устанавливаете токен CSRF и т. Д.

И что вы подразумеваете под сеансом XSRF-TOKEN? Сеанс привязан к пользователю, посещающему сайт, а не к токену.

user16139430 08 ноя '23 в 20:06 2023-11-08 20:06 · Answer 5 · 2023-11-08 20:06

      /**
 * Add the CSRF token to the response cookies.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Symfony\Component\HttpFoundation\Response  $response
 * @return \Symfony\Component\HttpFoundation\Response
 */
protected function addCookieToResponse($request, $response)
{
    $config = config('session');

    $response->headers->setCookie(
        new Cookie(
            'XSRF-TOKEN', $request->session()->token(), $this->availableAt(60 * $config['lifetime']),
            $config['path'], $config['domain'], $config['secure'], true, false, $config['same_site'] ?? null
        )
    );

    return $response;
}