Laravel CSRF 中间件未检查 X-CSRF-TOKEN 请求标头

【问题标题】:Laravel CSRF middleware is not checking X-CSRF-TOKEN request headerLaravel CSRF 中间件未检查 X-CSRF-TOKEN 请求标头
【发布时间】:2016-03-29 15:31:52
【问题描述】:

中间件:

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    public function handle($request, Closure $next)
    {
        return parent::handle($request, $next);
    }

}

Javascript:

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': 'wrong-token-to-test',
        'X-XSRF-TOKEN': 'another-wrong-token-to-test',
    }
});

刀片:

$.ajax({
      method: "POST",
      url: "{{url("login/$user")}}",
      data: {
         "email": $("#email").val(),
         "password": CryptoJS.SHA256($('#password').val()).toString(),
         "_token": "{{csrf_token()}}"
      }
})

即使为 csrf 令牌使用错误的 Http 标头值('wrong-token-to-test')也不会导致任何令牌不匹配异常。请求被正常处理。这是否意味着 Laravel 没有检查 X-CSRF-TOKEN 标头?

【问题讨论】:

    标签: php ajax laravel csrf middleware


    【解决方案1】:

    Laravel first 尝试从 getpost 中名为 _token 的参数中获取 CSRF 令牌,如果丢失,THEN 它会尝试从X-CSRF-TOKEN 获取。这里是/vendor/laravel/framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken中代码中的实现逻辑,方法tokensMatch

    $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

    但是您已经在您的 ajax 帖子中有效地包含了 _token 参数(并且具有正确的值):

    "_token": "{{csrf_token()}}"

    因此,您在 X-CSRF-TOKEN 标头中发送的内容并不重要。

    【讨论】:

      猜你喜欢
      • 2021-05-14
      • 2014-04-11
      • 2017-05-14
      • 2021-03-18
      • 2014-02-03
      • 2022-06-11
      • 1970-01-01
      • 2019-01-20
      • 2018-03-16
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode