* * * * *
[TOC]
## 简介
Laravel 可以轻松地保护应用程序免受 [跨站点请求伪造](https://en.wikipedia.org/wiki/Cross-site_request_forgery) (CSRF) 攻击,跨站点请求伪造是一种恶意攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。
Laravel 会自动为每个活跃用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。
无论何时,当您在应用程序中定义HTML表单时,都应该在表单中包含一个隐藏的CSRF标记字段,以便CSRF保护中间件可以验证该请求, 您可以使用 `@csrf` Blade指令来生成令牌字段:
~~~
<form method="POST" action="/profile">
@csrf
...
</form>
~~~
包含在 web 中间件组里的 `VerifyCsrfToken` [中间件](https://www.kancloud.cn/tonyyu/laravel_5_6/786089) 会自动验证请求里的令牌是否与存储在会话中令牌匹配。
#### CSRF 令牌 & JavaScript
构建由 Javascript 驱动的应用时,可以很方便地让 Javascript HTTP 函数库在发起每一个请求时自动附上 CSRF 令牌。默认情况下, `resources/assets/js/bootstrap.js` 文件会用 Axios HTTP 函数库注册的 `csrf-token` meta 标签中的值。如果你不使用这个函数库,你需要手动为你的应用配置此行为。
## CSRF 白名单
有时候你可能希望设置一组并不需要 CSRF 保护的 URI。例如,如果你正在使用 [Stripe](https://stripe.com/) 处理付款并使用了他们的 webhook 系统,你会需要从 CSRF 的保护中排除 Stripe Webhook 处理程序路由,因为 Stripe 并不会给你的路由发送 CSRF 令牌。
你可以把这类路由放到 `routes/web.php` 外,因为 `RouteServiceProvider` 的 `web` 中间件适用于该文件中的所有路由。不过,你也可以通过将这类 URI 添加到 `VerifyCsrfToken` 中间件中的 `$except` 属性来排除对这类路由的 CSRF 保护:
~~~
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;
class VerifyCsrfToken extends Middleware
{
/**
* 这些 URI 将免受 CSRF 验证
*
* @var array
*/
protected $except = [
'stripe/*',
'http://example.com/foo/bar',
'http://example.com/foo/*',
];
}
~~~
> {tip}当 [运行测试](https://www.kancloud.cn/tonyyu/laravel_5_6/786281) 时,CSRF 中间件会自动禁用
## X-CSRF-TOKEN
除了检查 POST 参数中的 CSRF 令牌外,`VerifyCsrfToken` 中间件还会检查 `X-CSRF-TOKEN` 请求头。你可以将令牌保存在 HTML `meta` 标签中:
~~~
<meta name="csrf-token" content="{{ csrf_token() }}">
~~~
然后,一旦创建了 `meta` 标记,就可以指示像 jQuery 的库自动将令牌添加到所有请求的头信息中。这可以为基于 AJAX 的应用提供简单、方便的 CSRF 保护:
~~~
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
~~~
> {tip} 默认情况下, `resources/assets/js/bootstrap.js` 文件会用 Axios HTTP 函数库注册 `csrf-token` meta 标签中的值。如果你不使用这个函数库,则需要为你的应用手动配置此行为。
## X-XSRF-TOKEN
Laravel 将当前的 CSRF 令牌存储在一个 `XSRF-TOKEN` cookie 中,该cookie 包含在框架生成的每个响应中。 您可以使用 cookie 值来设置 `X-XSRF-TOKEN` 请求标头。
这个 cookie 主要是作为一种方便的方式发送的,因为一些 JavaScript 框架和库,例如 Angular 和 Axios,会自动将它的值放入 `X-XSRF-TOKEN` 头中。
- 前言
- 翻译说明
- 发行说明
- 升级指南
- 贡献导引
- 入门指南
- 安装
- 配置信息
- 文件夹结构
- Homestead
- Valet
- 部署
- 核心架构
- 请求周期
- 服务容器
- 服务提供者
- Facades
- Contracts
- 基础功能
- 路由
- 中间件
- CSRF 保护
- 控制器
- 请求
- 响应
- 视图
- URL
- Session
- 表单验证
- 错误
- 日志
- 前端开发
- Blade 模板
- 本地化
- 前端指南
- 编辑资源 Mix
- 安全相关
- 用户认证
- Passport OAuth 认证
- 用户授权
- 加密解密
- 哈希
- 重置密码
- 综合话题
- Artisan 命令行
- 广播系统
- 缓存系统
- 集合
- 事件系统
- 文件存储
- 辅助函数
- 邮件发送
- 消息通知
- 扩展包开发
- 队列
- 任务调度
- 数据库
- 快速入门
- 查询构造器
- 分页
- 数据库迁移
- 数据填充
- Redis
- Eloquent ORM
- 快速入门
- 模型关联
- Eloquent 集合
- 修改器
- API 资源
- 序列化
- 测试相关
- 快速入门
- HTTP 测试
- 浏览器测试 Dusk
- 数据库测试
- 测试模拟器
- 官方扩展包
- Cashier 交易工具包
- Envoy 部署工具
- Horizon
- Scout 全文搜索
- Socialite 社会化登录