Laravel
话题列表 社区 Wiki 优质外文 招聘求职 Laravel 实战教程 社区文档
登录
注册

Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法

老财 的个人博客 / 2 / 9 / 创建于 7年前

Laravel5.4中,Vue框架引用了Axios HTTP 库来处理后端请求,提供了一种比Jquery更轻量的解决方案,新框架也试图让一些操作更简洁和统一,比如常用的 X-CSRF-TOKEN令牌设置。

第一次使用,通常会遇到一个X-CSRF-TOKEN的错误,编译完成,前端页面启动过程抛异常:

Uncaught TypeError: Cannot read property 'csrfToken' of undefined
    at Object.<anonymous> (app.js:40921)
    at __webpack_require__ (app.js:20)
    at Object.<anonymous> (app.js:11198)
    at __webpack_require__ (app.js:20)
    at Object.<anonymous> (app.js:40943)
    at __webpack_require__ (app.js:20)
    at app.js:66
    at app.js:69

查看编译后的app.js,发现有一段对X-CSRF-TOKEN的处理,默认是从window.Laravel中获取:

window.axios.defaults.headers.common = {
  'X-CSRF-TOKEN': window.Laravel.csrfToken,
  // 'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content'),
  'X-Requested-With': 'XMLHttpRequest'
};

这个变量没有设置,因此报错。

顺藤摸瓜,查源头,入口文件app.js 引用了一个资源文件 resources/assets/js/bootstrap.js,其中对X-CSRF-TOKEN有定义

window.axios = require('axios');

window.axios.defaults.headers.common = {
    'X-CSRF-TOKEN': window.Laravel.csrfToken,
    'X-Requested-With': 'XMLHttpRequest'
};

正是这段处理,导致了前端页面的报错

其实,框架应该是有意为之,在初次调试的时候报错提示可以在这里统一处理X-CSRF-TOKEN,但方式其实可以做得更优雅,应该在文档中给出最佳实践。

这里给出两种方案,大家可以按照实际情况采用:

一、从meta标记中获取(推荐)

因为很多时候中间件也会检查CSRF-TOKEN,所以通常我们都习惯在模板文件中设置meta标记来保存CSRF-TOKEN,因此从这里统一获取,处理方式一致

<meta name="csrf-token" content="{{ csrf_token() }}">

因此,修改bootstrap.js对应代码为:

window.axios = require('axios');

window.axios.defaults.headers.common = {
    'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content'),
    'X-Requested-With': 'XMLHttpRequest'
};

这样的修改,通用性也更好。

二、直接在页面设置

当然,如果使用通用模板,有些页面可能meta没有单独设置csrf-token标记,这种情况下,直接在页面用js脚本设置变量值也是一个办法,注意变量名和bootstrap.js中定义的保持一致

 window.Laravel = <?php echo json_encode([
              'csrfToken' => csrf_token(),
          ]); ?>

其他方式:

通过命令行 php artisan make:auth 可以自动生成 layouts模板文件:app.blade.php,里面包含了以上两种方法。
这个模板中还有其他关于登录态验证的最佳实践,大家可以参考(感谢 @yanyin 提供tips)。

随着Laravel版本的迭代,更多前端开发流程框架被引入,节省了大量配置、调试时间。对比最近折腾webpack+vue遇到的各种坑,这种框架本身自带的流程框架确实非常有效率。

本作品采用《CC 协议》,转载必须注明作者和本文链接
本帖由 Summer 于 7年前 加精
老财
课程读者 137 声望
CEO @ 石方数链 CB-LINK
一个喜欢写代码的产品经理
《L02 从零构建论坛系统》
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
《G01 Go 实战入门》
《G01 Go 实战入门》
从零开始带你一步步开发一个 Go 博客项目,让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。
讨论数量: 9
排序:
时间 投票
Summer
站长 11.3k 声望 / 维护者 @ LearnKu.com

帮你修改了代码高亮 :smile_cat:

7年前 评论
MrJing
LaraDinner 02 241 声望

:+1: 文档也是推荐使用 meta:https://learnku.com/docs/laravel/5.4/csrf#...

7年前 评论
老财
课程读者 137 声望 / CEO @ 石方数链 CB-LINK

@Summer 完美!

7年前 评论
yanyin
课程读者 48 声望

其实框架其实自带了 php artisan make:auth , 然后再view的模板文件中应用layout布局就可以。

7年前 评论
老财
课程读者 137 声望 / CEO @ 石方数链 CB-LINK

@yanyin 确实也是一种方法,用命令生成的这种,两个方式都兼容。

7年前 评论
10 声望

感谢科普,一直用的第二种方法,因为没有注意文档的推荐 - -

7年前 评论
jinwei
课程读者 70 声望

'X-CSRF-TOKEN':document.querySelector('meta[name="csrf-token"]').getAttribute('content') ,
'X-Requested-With': 'XMLHttpRequest'
好像少了个逗号

7年前 评论
1
jalen
课程读者 7 声望

他这token 请求之后 怎么刷新的呢?

7年前 评论
Peter335428
0 声望 / 技术小组长 @ 阿里巴巴

小夥伴呀

你是轉貼這篇文章吧?
https://iter01.com/238362.html

5年前 评论
老财 (楼主) 5年前
老伙计,有种盗版叫「爬虫」,一字不改,当然,包括作者,还算「良心」

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!
支持 MD 帮助
老财
CEO @ 石方数链 CB-LINK
文章
3
粉丝
45
喜欢
152
收藏
24
排名:160
访问:6.0 万
私信
所有博文
文章归档
1 篇 2017 年 3 月 2 篇 2017 年 2 月
最新文章 最受欢迎
7年前 Laravel 应用实践:如何优雅的完成全量数据同步 7年前 Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法 8年前 人人为我,我为人人!向社区发布自己的 Composer 包
76 人人为我,我为人人!向社区发布自己的 Composer 包 52 Laravel 应用实践:如何优雅的完成全量数据同步 24 Laravel5.4 Vue 框架中 X-CSRF-TOKEN 的两种设置方法
社区赞助商
成为赞助商

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消