Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法

Laravel5.4 中，Vue 框架引用了 Axios HTTP 库来处理后端请求，提供了一种比 Jquery 更轻量的解决方案，新框架也试图让一些操作更简洁和统一，比如常用的 X-CSRF-TOKEN 令牌设置。

第一次使用，通常会遇到一个 X-CSRF-TOKEN 的错误，编译完成，前端页面启动过程抛异常：

Uncaught TypeError: Cannot read property 'csrfToken' of undefined
    at Object.<anonymous> (app.js:40921)
    at __webpack_require__ (app.js:20)
    at Object.<anonymous> (app.js:11198)
    at __webpack_require__ (app.js:20)
    at Object.<anonymous> (app.js:40943)
    at __webpack_require__ (app.js:20)
    at app.js:66
    at app.js:69

查看编译后的 app.js，发现有一段对 X-CSRF-TOKEN 的处理，默认是从 window.Laravel 中获取：

window.axios.defaults.headers.common = {
  'X-CSRF-TOKEN': window.Laravel.csrfToken,
  // 'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content'),
  'X-Requested-With': 'XMLHttpRequest'
};

这个变量没有设置，因此报错。

顺藤摸瓜，查源头，入口文件 app.js 引用了一个资源文件 resources/assets/js/bootstrap.js，其中对 X-CSRF-TOKEN 有定义

window.axios = require('axios');

window.axios.defaults.headers.common = {
    'X-CSRF-TOKEN': window.Laravel.csrfToken,
    'X-Requested-With': 'XMLHttpRequest'
};

正是这段处理，导致了前端页面的报错

其实，框架应该是有意为之，在初次调试的时候报错提示可以在这里统一处理 X-CSRF-TOKEN，但方式其实可以做得更优雅，应该在文档中给出最佳实践。

这里给出两种方案，大家可以按照实际情况采用：

一、从 meta 标记中获取（推荐）#

因为很多时候中间件也会检查 CSRF-TOKEN，所以通常我们都习惯在模板文件中设置 meta 标记来保存 CSRF-TOKEN，因此从这里统一获取，处理方式一致

<meta name="csrf-token" content="{{ csrf_token() }}">

因此，修改 bootstrap.js 对应代码为：

window.axios = require('axios');

window.axios.defaults.headers.common = {
    'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content'),
    'X-Requested-With': 'XMLHttpRequest'
};

这样的修改，通用性也更好。

二、直接在页面设置#

当然，如果使用通用模板，有些页面可能 meta 没有单独设置 csrf-token 标记，这种情况下，直接在页面用 js 脚本设置变量值也是一个办法，注意变量名和 bootstrap.js 中定义的保持一致

 window.Laravel = <?php echo json_encode([
              'csrfToken' => csrf_token(),
          ]); ?>

其他方式：#

通过命令行 php artisan make:auth 可以自动生成 layouts 模板文件：app.blade.php，里面包含了以上两种方法。
这个模板中还有其他关于登录态验证的最佳实践，大家可以参考（感谢 @yanyin 提供 tips）。

随着 Laravel 版本的迭代，更多前端开发流程框架被引入，节省了大量配置、调试时间。对比最近折腾 webpack+vue 遇到的各种坑，这种框架本身自带的流程框架确实非常有效率。

本作品采用《CC 协议》，转载必须注明作者和本文链接

本帖由 Summer 于 8年前加精

老财

课程读者 137 声望

CEO @ 石方数链 CB-LINK

一个喜欢写代码的产品经理

24 人点赞

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

博客

花了四个月打磨的 Laravel Plus 开源 29 / 96 |

博客

冯老师的困惑 —— 一个跑了两年的 BUG 19 / 16 |

博客

在laravel下实现全双工的websocket开发 21 / 8 |

分享创造

无需修改任何代码和扩展将你的Laravel项目性能提高20倍 97 / 98 |

博客

Laravel 实用小技巧——缓存标签的小秘密（下） 12 / 11 |

博客

Laravel 实用小技巧——缓存标签的小秘密（上） 16 / 6 |

讨论数量: 9

Summer

站长 11.3k 声望 / 维护者 @ LearnKu.com

帮你修改了代码高亮

8年前评论

MrJing

LaraDinner 02 241 声望

文档也是推荐使用 meta：https://learnku.com/docs/laravel/5.4/csrf#...

8年前评论

老财

课程读者 137 声望 / CEO @ 石方数链 CB-LINK

@Summer 完美！

8年前评论

yanyin

课程读者 48 声望

其实框架其实自带了 php artisan make:auth , 然后再 view 的模板文件中应用 layout 布局就可以。

8年前评论

老财

课程读者 137 声望 / CEO @ 石方数链 CB-LINK

@yanyin 确实也是一种方法，用命令生成的这种，两个方式都兼容。

8年前评论

泽

10 声望

感谢科普，一直用的第二种方法，因为没有注意文档的推荐 - -

8年前评论

jinwei

课程读者 70 声望

'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content') ,
'X-Requested-With': 'XMLHttpRequest'
好像少了个逗号

8年前评论

jalen

课程读者 7 声望

他这 token 请求之后怎么刷新的呢？

7年前评论

Peter335428

0 声望 / 技术小组长 @ 阿里巴巴

小夥伴呀

你是轉貼這篇文章吧？
https://iter01.com/238362.html

5年前评论

老财（楼主）

老伙计，有种盗版叫「爬虫」，一字不改，当然，包括作者，还算「良心」

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

CEO @ 石方数链 CB-LINK

私信

所有博文

文章归档

8年前 Laravel 应用实践：如何优雅的完成全量数据同步 8年前 Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法 8年前人人为我，我为人人！向社区发布自己的 Composer 包

76 人人为我，我为人人！向社区发布自己的 Composer 包 52 Laravel 应用实践：如何优雅的完成全量数据同步 24 Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法

成为赞助商

Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法

一、从 meta 标记中获取（推荐）#

二、直接在页面设置#

其他方式：#

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法

一、从 meta 标记中获取（推荐）#

二、直接在页面设置#

其他方式：#

推荐文章：

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录