【发布时间】:2019-10-09 17:51:17
【问题描述】:
是否可以注释掉或删除
VerifyCsrfToken 我的 laravel 中间件组中的类?
【问题讨论】:
-
如果您不想被任何人保护您的路线,请确保
-
无需修改VerifyCsrfToken中间件。足以将其从
App\Http\Kernel::$middlewareGroups数组中删除。
【发布时间】:2019-10-09 17:51:17
【问题描述】:
如果你使用 Laravel 作为 Rest API(使用 Cors 和 JWT),没有问题。但是您使用 blade 制作表单,您绝对需要它!
【讨论】:
-
如果 REST API 使用 cookie 进行验证,CSRF 仍然是一个问题。此外,问题不是 Blade - 非 Blade 表单(原始 PHP、静态 HTML 等)仍然存在潜在的 CSRF 漏洞。
-
@jfadich 不,会话是有状态的。可以轻松地将 REST API 的身份验证令牌存储在 cookie 中。 security.stackexchange.com/questions/166724/… 对 REST API 端点的每个客户端请求都应该包含执行它所需的所有信息;这根本不排除cookies。 softwareengineering.stackexchange.com/questions/141019/…
-
他可以在没有 CSRF 令牌的情况下由 Cors 处理它,并使用 JWT 进行身份验证而不使用 cookie。所以没有问题。这与建筑有关。
-
我在无状态 API 中对来自客户端的每个请求都要求 auth_token,并删除了 CSRF 保护,可以吗?
-
@Kiani "Can" 和 "do" 不是一回事。 REST API 本质上对 CSRF 是不安全的;它在一些场景中。因此,我的澄清评论。 (CORS 完全不相关;您也可以在与前端相同的域中托管 REST API。)