CSRF是”cross site request forgery”的意思,簡單來說就是防止惡意頁面中一個簡單的form提交,就向你保持了登陸狀態了網站裏請求做一些你不想做的事情……言盡於此,我們之間看Laravel裏的CSRF相關的內容吧!
Laravel(5以後)有個默認的CSRF middleWare,所有POST,PUT請求都會經過這個middleWare,看有沒有csrf的token存在並且匹配,不存在的話就會拋出錯誤頁面。提一句,如果做微信接口的話,一定要在接口地址上把這個middleWare給去掉,因爲微信大多數都是把數據POST過來的,而你不能奢望微信給你附上一個csrf_token。。。
在Laravel的表單中,埋入一個就可以在表單請求的時候發出正確的token,這樣就不會有問題了,而在ajax請求的時候呢,方法多多~
1. 如果你是用ajax submit一個已經存在的form,那麼就和平常一樣,把csrf藏在表單裏就好了,萬事大吉。
2. 如果你不是提交表單,那麼就要考慮將token值放在一個什麼地方,比如還是一個input中,然後ajax提交的時候去讀取這個input,附在提交值中。
3. 當然,token值也可以不放在提交的值中,而放在headers裏,如果你的js腳本直接寫在blade模板裏,可以用
$.ajaxSetup({
headers: { 'X-CSRF-TOKEN' : '{{ csrf_token() }}' }
});
來把token值提交給服務器。
4. 當然很多時候js是在靜態文件裏的,那麼可以把token值放在html的meta裏,就像這樣
<meta name="_token" content="{{ csrf_token() }}"/>
這樣就能用
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="_token"]').attr('content')
}
});
5. 然而以上的方法都不夠帥!!!因爲你總是要在頁面的什麼地方調用csrf_token()輸出這個值,然後用js腳本獲得這個值~
我看Laravel源碼的時候發現,Laravel默認會把CSRF_TOKEN的值寫在一個叫XCRF-TOKEN的cookie中,其實每次訪問這個值都會發生變化,那我們只要用這個值就好了嘛,下面就是見證奇蹟的時刻(好古老的梗):
$.ajaxSetup({
headers: {
'X-XSRF-TOKEN': $.cookie('XSRF-TOKEN')
}
});
在某個全局地方調用這個就好了,你不需要再手動輸出token了(當然你要用cookie插件)!注意這裏的XSRF而不是CSRF了。
補充:
You have to add data in your ajax request. I hope so it will be work.
data: {
"_token": "{{ csrf_token() }}",
"id": id
}