关于laravel的csrf token

1.csrf token作用

　　laravel的CSRF TOKEN是为了防止CSRF（Cross-Site Request Forgery，跨站请求伪造）攻击。

2. csrf token的生成

　　StartSession 中间件在会话初始化时会检查 session 是否包含 CSRF Token，如果没有，Laravel 会调用生成方法自动生成一个 Token 并存储在 session 中。

3. csrf token在后台端的获取，比如控制器

使用session获取   
$token = $request->session()->token();

使用csrf_token辅助函数

$token = csrf_token();

4.csrf token在浏览器端的使用

　　在blade视图中，使用balde的指令@csrf, 生成隐藏的token input，生成的结果如下。一般用于表单内部，用于表单的提交来进行csrf认证

<input type="hidden" name="_token" value="ISHLfhAZ62oZdrloYhHQId8DRf6g3GJinzgLZg8P">

　　在ajax请求中

　　在html的head部分，生成如下meta

<meta name="csrf-token" content="{{ csrf_token() }}">

　　在 AJAX 请求中添加 Token，例如在使用 jQuery 的情况下：

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

 

5. csrf token的验证

　　VerifyCsrfToken 中间件的 handle() 方法会从请求中提取 Token，并将其与存储在用户 session 中的 Token 比较，以确定请求是否有效。

　　中间件会在请求参数 token或者请求头X-CSRF-TOKEN来提取token， 提取代码如下。所以不管哪种请求（表单或者ajax），只要保证有token就可以就行验证

$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

 　　验证一般只用于 POST、PUT、PATCH 和 DELETE 请求。对于get请求一般不会进行csrf token的验证， 所以尽量不要使用get方法处理增删改