ajax获取子域名时的csrf保护,传递token但是token不同

1. 运行环境

1). 当前使用的 Laravel 版本？

laravel8.*

2). 当前使用的 php/php-fpm 版本？

PHP 版本：7.3

2. 问题描述？

目前有两个域名:
www.shop.com
api.shop.com

Route::domain('www.shop.com')->group(function (){
    Route::get('/','Controller@index');
});

Route::domain('api.shop.com')->middleware('cors')->group(function (){
    Route::post('commodity','ApiController@Commodity')->name('api.commodity');
});

在主域名通过ajax获取api时会有csrf保护,但是在ajax中传递了_token值也还是返回419错误码

$.ajax({
        url:'{{route('api.commodity')}}',
        type:'post',
        data: {
            '_token':'{{csrf_token()}}',
        },
        success:function(e){
            console.log(e);
        }
    })

于是设置了api的csrf白名单后再对比，返回通过ajax传递的token和Session:all()内的token值,发现两个token不一样,怎么在不开启csrf白名单的情况下获取api的数据

cccq

22 声望

暂无个人描述~

0 人点赞

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

讨论数量: 7

Su

见习助教 306 声望

laravel 中的 csrf_token 显示在前端页面会加密的，你是想让两个项目的 csrf_token 一样？？还是啥

3年前评论

cccq （楼主）

就是默认开启的csrf保护嘛,然后ajax去获取就会419错误码,但是如果我ajax请求的url是www下的我data里面设置一个token过去就可以正常获取值了,但是我现在ajax请求的url是api,然后还是会返回419错误码

Su （作者）

@cccq 你不是设置接口的 csrf_token 白名单了

cccq （楼主）

是啊,就是想说能不能在不设置白名单的情况下正常获取数据,想要的效果就是只有我的网页可以获取数据,而postman获取则419

liulangzhenku

0 声望

您好，这个问题解决了吗，怎么解决的来.

2年前评论

cccq （楼主）

有点久了，我也忘记了我有没有解决，我印象里是我自己写了一个方法创建token在www的页面，然后通过ajax传递给api，api就验证token是否合法，验证通过了就返回数据，按照我文章里的方法好像是不行的，因为不同域名的session不互通，除非用redis

liulangzhenku （作者）

@cccq 感谢，我已经使用redis作为session共享了，开启的csrf保护导致不同域名之间ajax请求报419！

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

ajax获取子域名时的csrf保护,传递token但是token不同

1. 运行环境

1). 当前使用的 Laravel 版本？

2). 当前使用的 php/php-fpm 版本？

2. 问题描述？

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

ajax获取子域名时的csrf保护,传递token但是token不同

1. 运行环境

1). 当前使用的 Laravel 版本？

2). 当前使用的 php/php-fpm 版本？

2. 问题描述？

社区赞助商

关于 LearnKu

资源推荐

服务提供商

其他信息

请登录