优化文档
leslieeilsel
3年前
修改理由:
相关信息:
- 类型:文档文章
- 文章: CSRF 保护
- 文档: 《Laravel 8 中文文档(8.x)》
此投稿已在 3年前 合并。
内容修改:
Old | New | Differences |
---|---|---|
1 | ||
2 | 1 | # CSRF 保护 |
3 | 2 | |
4 | 3 | - [简介](#csrf-introduction) | … | … |
9 | 8 | <a name="csrf-introduction"></a> |
10 | 9 | ## 简介 |
11 | 10 | |
12 | Laravel 可以轻松使地保护你的应用程序免受 [跨站请求伪造](https://en.wikipedia.org/wiki/Cross-site_request_forgery) | |
11 | Laravel 可以轻松使地保护你的应用程序免受 [跨站请求伪造](https://en.wikipedia.org/wiki/Cross-site_request_forgery)(CSRF)攻击。 跨站点请求伪造是一种恶意攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。 | |
13 | 12 | |
14 | 13 | Laravel 会自动为每个活跃的用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。 |
15 | 14 | … | … |
28 | 27 | 函数库发起每一个请求时自动附上 CSRF 令牌。默认情况下,`resources/js/bootstrap.js` 文件中提供的 Axios HTTP 库会使用 cookie 中加密的 `XSRF-TOKEN` 的值然后在请求时自动发送 `X-XSRF-TOKEN` 标头。 如果不使用此库,则需要为应用程序手动配置此行为。 |
29 | 28 | |
30 | 29 | <a name="csrf-excluding-uris"></a> |
31 | ||
32 | ||
30 | ||
31 | ||
33 | 32 | ## 白名单 |
34 | 33 | |
35 | 34 | 有时候你可能希望设置一组不需要的 CSRF 保护的 URL 。例如,如果你正在使用 [Stripe](https://stripe.com) 处理付款并使用了他们的 webhook 系统,你会需要从 CSRF 的保护中排除 Stripe webhook 处理程序路由,因为 Stripe 并不会给你的路由发送 CSRF 令牌。 | … | … |
82 | 81 | 这个 cookie 主要是作为一种方便的方式发送的,因为一些 JavaScript 框架和库,例如 Angular 和 Axios ,会自动将它的值放入 `X-XSRF-TOKEN` 头中。 |
83 | 82 | |
84 | 83 | > 技巧:默认情况下,`resources/js/bootstrap.js` 文件包含的 Axios HTTP 库,会自动为你发送 CSRF 令牌。 |
84 | ||
85 | 85 | |
86 |