Laravel 文档阅读：CSRF 保护

翻译、衍生自：https://learnku.com/docs/laravel/5.5/csrf

简介

使用 Laravel 能够很简单的避免 跨站请求伪造（CSRF） 攻击。跨站请求伪造是一种恶意攻击，通过这种操作，认证用户可以执行未经授权的命令。

Laravel 为每个用户回话自动生成 CSRF 令牌。此令牌用于验证认证用户就是实际向应用程序发出请求的用户。

在应用程序中凡是使用 HTML 表单的地方，都应该包含一个名为 _token 的隐藏域，这个字段值就是 CSRF 令牌，随请求发往后台的时候，会经 CSRF 中间件验证。 咱可以使用 csrf_field 辅助函数生成这个隐藏域。

<form method="POST" action="/profile">
    {{ csrf_field() }}
    ...
</form>

刚才提到的 CSRF 中间件，就是名为 VerifyCsrfToken 的中间件，位于 app/Http/Middleware/VerifyCsrfToken.php，它定义在 web 中间件组里，所以对所有的 Web 请求接口都生效。VerifyCsrfToken 会验证请求里的令牌和保存在回话里的令牌值是否一样。

CSRF 令牌 & JavaScript

在构建 JavaScript 驱动型的应用程序时，给你的 JavaScript HTTP 库附加 CSRF 令牌也很方便。默认，resources/assets/js/bootstrap.js 文件中为 Axios HTTP 库附加了 CSRF 令牌，令牌是从 HTML 的 <meta name="csrf-token" content="{{ csrf_token() }}"> 这个标签里取到的。

/**
 * We'll load the axios HTTP library which allows us to easily issue requests
 * to our Laravel back-end. This library automatically handles sending the
 * CSRF token as a header based on the value of the "XSRF" token cookie.
 */

window.axios = require('axios');

window.axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest';

/**
 * Next we will register the CSRF Token as a common header with Axios so that
 * all outgoing HTTP requests automatically have it attached. This is just
 * a simple convenience so we don't have to attach every token manually.
 */

let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) {
    window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
} else {
    console.error('CSRF token not found: https://learnku.com/docs/laravel/csrf#csrf-x-csrf-token');
}

如果你不是用 Axios 作为 HTTP 请求库的话（比如用 jQuery），那么就需要你手动配置了。

从 CSRF 保护中排除一组 URIs

应用程序中，并不是所有的请求都需要经过 CSRF 令牌验证。例如，当你使用 Stripe 处理支付流程并且使用了它们的 wekhook 系统的时候，你就需要把所有与 Stripe 相关的 URI 排除在 CSRF 保护队列之外，因为 Stripe 可不知道要给你的路由发送什么 CSRF 令牌值。

遇到这种情况，你的路由要么不放在 routes/web.php 中（因为这个文件里的路由都附加了 web 中间件），当然这很麻烦，所以我们不这么做。怎么做呢？很简单，只要在 VerifyCsrfToken 中间件的 $except 属性里添加你要排除在 CSRF 保护之外的 URIs 就可以了。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        'stripe/*',
    ];
}

X-CSRF-TOKEN

VerifyCsrfToken 中间件除了会检查以 POST 参数形式传递过来的 CSRF 令牌之外，也检查请求头的 X-CSRF-TOKEN 字段。我们可以把令牌放在 meta 标签里：

<meta name="csrf-token" content="{{ csrf_token() }}">

这样一个 meta 标签创建好后，我们就可以向 jQuery 这一类库中附加 X-CSRF-TOKEN 标头字段，之后的每次 HTTP 请求里都会包含这个信息。

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

需要注意的是，在 resources/assets/js/bootstrap.js 这个文件中，默认为 Axios 这个 HTTP 请求库附加的 CSRF 令牌，也是从上面的 meta 标签里获取的。如果你不是用 Axios 作为 HTTP 请求库的话，就需要向上面设置 jQuery 那样手动配置了。

X-XSRF-TOKEN

Laravel 还将应用程序里的 CSRF 令牌保存在了名为 XSRF-TOKEN 的 cookie 里，这个 cookie 在程序的每次相应中都会携带。你可以用这个 cookie 值设置 X-XSRF-TOKEN 请求头。

这个 cookie 主要是为其他一些 JavaScript 框架和库提供便利，比如 Angular 和 Axios，它们会自动将这个名为 XSRF-TOKEN 的 cookie 值放在 X-XSRF-TOKEN 这个请求头里。

本作品采用《CC 协议》，转载必须注明作者和本文链接