微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
laravel5.3中ajax post请求需要自己将VerifyCsrfToken加入到Kernel.php中吗?
天蓬老师
天蓬老师 2017-04-11 10:21:51
[PHP讨论组]
0 2 483
举报

我在写一个ajax post控制器的时候想到了需要做csrf防御。看网上说ajax发请求的时候可以加_token字段或者设置请求头来解决身份问题。我在
IlluminateFoundationHttpMiddlewareVerifyCsrfToken中也看到了相关的代码:

protected function tokensMatch($request)
    {
        $sessionToken = $request->session()->token();
        //使用_token字段或者请求头中的X-CSRF-TOKEN做$token
        $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

        if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
            //没有的话使用cookie中加密的X-XSRF-TOKEN解密之后作为$token
            $token = $this->encrypter->decrypt($header);
        }

        if (! is_string($sessionToken) || ! is_string($token)) {
            return false;
        }
        //判断是否相等
        return hash_equals($sessionToken, $token);
    }

好了,下面说我的疑问,

Route::group([
    'prefix' => 'api'
], function(){
        Route::post('/collection/collect', 'Collection\Rest\CollectionCollectController@post')
        ->name('collectionCollect');});

以上是路由,以下是控制器

<?php
namespace App\Http\Controllers\Mass\Collection\Rest;

use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\DB;

class CollectionCollectController extends Controller
{
    public function post(Request $request)
    {
        DB::table('collection_product')->insert([
            'c_eid' => $request->get('c_eid'),
            'p_eid' => $request->get('p_eid')
        ]);

        return [
            'status' => 'ok'
        ];
    }
}

我在使用使用js异步访问该路由的时候在上面说到的tokensMatch方法中试图打印出$token
但是发现程序并没有走这个中间件。

protected function tokensMatch($request)
    {
        $sessionToken = $request->session()->token();
        //使用_token字段或者请求头中的X-CSRF-TOKEN做$token
        $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

        if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
            //没有的话使用cookie中加密的X-XSRF-TOKEN解密之后作为$token
            $token = $this->encrypter->decrypt($header);
        }

        if (! is_string($sessionToken) || ! is_string($token)) {
            return false;
        }
        //打印$token,但是发现这里没有执行
        dd($token);
        return hash_equals($sessionToken, $token);
    }

这样看来,是需要自己将VerifyCsrfToken中间件加到Kernel.php中的$middlewareGroups中吗?

protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            'throttle:60,1',
            'bindings',
        ],
    ];

加入到'api'中?

天蓬老师
天蓬老师

欢迎选择我的课程,让我们一起见证您的进步~~

全部回复(2)
迷茫
迷茫2017-04-11 10:23:51 2楼

哎,既然你要防csrf,就要加上去。laravel默认情况下创建的api中间件组是没有防csrf的。

+0
添加回复
黄舟
黄舟2017-04-11 10:23:51 1楼

结帖。是需要

+0
添加回复
专题推荐
更多>
热门话题
热门教程
更多>
相关教程
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部