简介#
Laravel 可以轻松地保护应用程序免受跨站请求伪造(CSRF) 的攻击。跨站请求伪造是一种恶意的攻击,
他凭借已通过身份验证的用户身份来运行未经过授权的命令。
Laravel 会自动为每个活跃用户的会话生成一个 CSRF [令牌] 。该令牌用于验证经过身份验证的用户是向应用程序
发出请求的用户。
任何情况下当你在应用程序中定义HTML 表单时,都应该在在表单中包含一个隐藏的CSRF令牌字段,以便CSRF
保护中间件可以验证该请求,可以使用辅助函数csrf_field 来生成令牌字段:
{{csrf_field()}}
包含在web 中间件组里的 VerifyCsrfTken 中间件会自动验证请求里的令牌是否与存储在会话中令牌匹配。
CDRF令牌 & JavaScript#
构建由Javascript 驱动的应用时,可以很方便的让Javascript HTTP 函数库在发起每一个请求时自动附上 CDRF令牌。
默认情况下,resources/assets/js/bootstrap.js 文件会用 Axios HTTP 函数库注册的 csrf-token meta 标签中的值。如果你不使用这个函数库,
你需要手动为你的应用配置次行为。
CDRF 白名单#
有时候你可能希望设置一组并不需要CSRF保护的URI.例如,如果你正在使用Stripe 处理付款并使用了他们的webhook
系统,你会需要从CSRF的保护中排除Strpe Webhook 处理程序路由,因为Stripe 并不会给你的路由发送CSRF令牌。
你可以把这类路由放到 routes/web.php 外,因为RouteServiceProvider 的web 中间件适用于该文件中的所有路由。
不过,你也可以通过将这类url添加到VerifyCsrfToken 中间件中的 $except 属性来排除对这类路由的CSRF保护:
X-CSRF-TOKEN#
除了检查POST参数中的CSRF令牌外,VerifyCsrfToken 中间件还会检查x-csrf-token 请求头。你可以将令牌保存在HTML
meta标签中:
<meta name="csrf-token" content="{{csrf_token()}}">
然后你就可以使用类似jQuery的库自动将令牌添加到所有请求头信息中。这可以为基于AJAX的应用提供简单、方便得
的 CSRF 保护:
$.ajaxSetup({
headers:{
'X-CSRF-TOKEN':$('meta[name="csrf-token"]').attr('content')
}
});
X-XSRF-TOKEN#
Laravel将当前的CSRF令牌储存在有框架生成的每个响应中包含的一个xsrf-token cookie中。为方便起见,你可以使用
cookie 值来设置x-xsrf-token 请求头,而一些 javascript 框架和库(如Angular 和Axios)会自动将这个值添加到
x-xsrf-token头中。