豁然高

导航

关于laravel的csrf token

1.csrf token作用

  laravel的CSRF TOKEN是为了防止CSRF(Cross-Site Request Forgery,跨站请求伪造)攻击。

2. csrf token的生成

  StartSession 中间件在会话初始化时会检查 session 是否包含 CSRF Token,如果没有,Laravel 会调用生成方法自动生成一个 Token 并存储在 session 中。

3. csrf token在后台端的获取,比如控制器

使用session获取   
$token = $request->session()->token(); 使用csrf_token辅助函数
$token = csrf_token();

4.csrf token在浏览器端的使用

  在blade视图中,使用balde的指令@csrf, 生成隐藏的token input,生成的结果如下。一般用于表单内部,用于表单的提交来进行csrf认证

<input type="hidden" name="_token" value="ISHLfhAZ62oZdrloYhHQId8DRf6g3GJinzgLZg8P">

  在ajax请求中

  在html的head部分,生成如下meta

<meta name="csrf-token" content="{{ csrf_token() }}">

  在 AJAX 请求中添加 Token,例如在使用 jQuery 的情况下:

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

 

5. csrf token的验证

  VerifyCsrfToken 中间件的 handle() 方法会从请求中提取 Token,并将其与存储在用户 session 中的 Token 比较,以确定请求是否有效。

  中间件会在请求参数 token或者请求头X-CSRF-TOKEN来提取token, 提取代码如下。所以不管哪种请求(表单或者ajax),只要保证有token就可以就行验证

$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

   验证一般只用于 POSTPUTPATCHDELETE 请求。对于get请求一般不会进行csrf token的验证, 所以尽量不要使用get方法处理增删改

 

posted on 2024-11-08 10:21  豁然高  阅读(21)  评论(0编辑  收藏  举报