Proteção CSRF no Laravel

Laravel
Tempo de leitura: 4 minutos

Proteção CSRF no Laravel: No mundo digital, a segurança das aplicações web é uma preocupação constante. Um dos tipos de ataque mais comuns é o Cross-Site Request Forgery (CSRF), que permite que um atacante induza um usuário autenticado a executar ações indesejadas em um site.

Felizmente, o Laravel oferece mecanismos robustos para proteger suas aplicações contra esse tipo de ameaça.

Neste artigo, vamos explorar o conceito de CSRF, como ele funciona e como o Laravel o previne.

O que é CSRF?

CSRF é um ataque em que um atacante explora a confiança que um site tem no navegador de um usuário autenticado. Ao induzir o usuário a clicar em um link malicioso ou carregar uma página HTML especialmente criada, o atacante pode forçar o navegador do usuário a enviar requisições HTTP para o site alvo, em nome do usuário autenticado.

Exemplo: Imagine um formulário de transferência de fundos em um banco online. Um atacante poderia criar um formulário invisível em seu próprio site, que, ao ser carregado, enviaria uma requisição para o banco, transferindo fundos para a conta do atacante. Se o usuário estiver logado no banco e visitar o site do atacante, a transferência seria realizada sem o seu conhecimento.

Como o Laravel Protege Contra CSRF?

O Laravel implementa um mecanismo de proteção contra CSRF que funciona da seguinte forma:

  1. Token CSRF: Para cada sessão ativa, o Laravel gera um token CSRF único.
  2. Formulários: O Laravel inclui automaticamente um campo oculto nos formulários HTML, contendo esse token.
  3. Verificação: Quando uma requisição POST é feita, o Laravel verifica se o token enviado na requisição corresponde ao token armazenado na sessão. Se os tokens não corresponderem, a requisição é rejeitada.

Configurando a Proteção CSRF

A proteção CSRF está habilitada por padrão no Laravel. No entanto, você pode personalizar o comportamento do middleware VerifyCsrfToken que verifica os tokens CSRF. Por exemplo, para excluir algumas rotas da verificação, você pode editar o arquivo app/Http/Middleware/VerifyCsrfToken.php e adicionar as rotas ao array $except.

PHP

protected $except = [
    'payment/hotmart/webhook',
    'api/*',
];

Adicionando o Token CSRF aos Formulários:

Para garantir que o token CSRF seja incluído em todos os seus formulários, utilize a directive @csrf dentro dos seus templates Blade:

HTML

<form method="POST" action="/posts">
    @csrf
    <label for="name">Name</label>
    <input type="text" name="name"/>
    <button type="submit">Enviar</button>
</form>

Protegendo Rotas Externas

Para proteger rotas que não utilizam o formulário padrão do Laravel, você pode utilizar a Facade csrf_token():

HTML

<meta name="csrf-token" content="{{ csrf_token() }}">

JavaScript

// Em JavaScript
var token = $('meta[name="csrf-token"]').attr('content');

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': token
    }
});

Boas práticas para proteger contra CSRF

Além da proteção fornecida pelo Laravel, é importante seguir algumas boas práticas para garantir a segurança da sua aplicação:

  • Mantenha o Laravel atualizado: As novas versões do Laravel geralmente incluem correções de segurança.
  • Não confie apenas no CSRF token: Utilize outras medidas de segurança, como validação de dados e autenticação de dois fatores.
  • Eduque seus usuários: Avise seus usuários sobre os riscos de clicar em links desconhecidos e de fornecer informações pessoais em sites não confiáveis.
  • Mantenha seus servidores seguros: Utilize firewalls, sistemas de detecção de intrusão e mantenha seus softwares atualizados.
  • Utilize HTTPS: O HTTPS criptografa a comunicação entre o navegador e o servidor, dificultando a interceptação de requisições.
  • Limite o tempo de vida das sessões: Reduza o tempo de vida das sessões para minimizar o impacto de um ataque bem-sucedido.

Conclusão

O CSRF é uma ameaça real para a segurança das aplicações web. O Laravel oferece ferramentas poderosas para proteger suas aplicações contra esse tipo de ataque. Ao entender como o CSRF funciona e como o Laravel implementa a proteção, você poderá construir aplicações web mais seguras e confiáveis.

Mas antes de dominar o Laravel, se for o seu caso, toda jornada tem um início. Vamos entender quais são os conhecimentos básicos necessários para aproveitar ao máximo este poderoso framework. Para iniciar seus estudos no Laravel, você precisará dominar as seguintes tecnologias:

HTML
HTML
CSS
CSS
Javascript
JavaScript
SQL
SQL
Capa Curso PHP
PHP

E se você gosta do nosso conteúdo, não deixe de contribuir adquirindo os serviços e produtos dos nossos apoiadores e empresas que somos associados:

Hospedagem Hostinger
Ofertas Amazon
Amazon Prime
Author: Thiago Rossi