构建安全的 Laravel 应用程序有时可能感觉像是事后诸葛亮,但 Stephen Rees-Carter 在 Laracon AU 2024 上放弃了一些严肃的知识,这让我重新思考了一些事情。 Stephen 是一位有道德的黑客,他目睹了这一切——我的意思是他侵入了很多 Laravel 应用程序,所有这些都是为了帮助像我们这样的开发者看到我们容易错过的漏洞。
受到他的见解的启发,我编写了一份指南,介绍一些最容易被忽视的安全步骤,这些步骤可以在保护 Laravel 项目方面发挥巨大作用。下面是里面的内容:
- 过时的软件包 – 我们都喜欢使用库来加快速度,但如果您不定期更新,那么您基本上就等于敞开了大门。运行 Composer update 的频率比您认为需要的频率要高。
- 安全会话 Cookie – 微小的 .env 设置可能是安全 Cookie 和易于窃取 Cookie 之间的区别。这是一个快速解决方案,您稍后会感谢自己。
- HSTS 加密 – 中间人攻击?不,不,谢谢。设置 HSTS 意味着您的用户将始终使用 HTTPS,从而使这些攻击变得更加困难。
- Blade 语法陷阱 – 如果你混淆了 {!! !!} 和 {{ }},您面临 XSS 漏洞的风险。小语法错误,大后果。
- Markdown 风险 – 在没有正确选项的情况下渲染 Markdown 可能会打开你没有意识到的大门。一些配置调整使其更安全。
- 信任第三方代码 - CDN 很棒,但添加完整性哈希可以保证它们的安全。不要只是复制链接并继续 - 检查这些哈希值!
这听起来似乎是显而易见的,但即使缺少其中一个步骤也可能会让您的应用程序暴露在外。想要了解完整的内幕吗?阅读此处:https://laraveleco.com/how-to-keep-your-laravel-application-hacker-free/
