1.csrf token作用
laravel的CSRF TOKEN是为了防止CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击。
2. csrf token的生成
StartSession 中间件在会话初始化时会检查 session 是否包含 CSRF Token,如果没有,Laravel 会调用生成方法自动生成一个 Token 并存储在 session 中。
3. csrf token在后台端的获取,比如控制器
使用session获取
$token = $request->session()->token(); 使用csrf_token辅助函数
$token = csrf_token();
4.csrf token在浏览器端的使用
在blade视图中,使用balde的指令@csrf, 生成隐藏的token input,生成的结果如下。一般用于表单内部,用于表单的提交来进行csrf认证
<input type="hidden" name="_token" value="ISHLfhAZ62oZdrloYhHQId8DRf6g3GJinzgLZg8P">
在ajax请求中
在html的head部分,生成如下meta
<meta name="csrf-token" content="{{ csrf_token() }}">
在 AJAX 请求中添加 Token,例如在使用 jQuery 的情况下:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
5. csrf token的验证
VerifyCsrfToken 中间件的 handle() 方法会从请求中提取 Token,并将其与存储在用户 session 中的 Token 比较,以确定请求是否有效。
中间件会在请求参数 token或者请求头X-CSRF-TOKEN来提取token, 提取代码如下。所以不管哪种请求(表单或者ajax),只要保证有token就可以就行验证
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
验证一般只用于 POST、PUT、PATCH 和 DELETE 请求。对于get请求一般不会进行csrf token的验证, 所以尽量不要使用get方法处理增删改
标签:laravel,csrf,Token,token,session,CSRF,请求 From: https://www.cnblogs.com/gaoBlog/p/18534573