jQuery 将 CSRF 令牌添加到所有 $.post() 请求的数据

Question

我正在开发一个 Laravel 5 应用程序，该应用程序默认为所有 POST 请求启用 CSRF 保护。我喜欢这种增加的安全性，所以我正在尝试使用它。

在发出简单的 $.post() 请求时，我收到了 'Illuminate\Session\TokenMismatchException' 错误，因为 POST 数据中缺少所需的表单输入 _token。下面是一个有问题的 $.post 请求示例：

var userID = $("#userID").val();
$.post('/admin/users/delete-user', {id:userID}, function() {
// User deleted
});

我将我的 CSRF 令牌作为元字段存储在我的标头中，并且可以使用以下方法轻松访问它：

var csrf_token = $('meta[name="csrf-token"]').attr('content');

是否可以将其附加到所有传出$.post() 请求的 json 数据中？我尝试使用标题，但 Laravel 似乎无法识别它们 -

var csrf_token = $('meta[name="csrf-token"]').attr('content');
alert(csrf_token);
$.ajaxPrefilter(function(options, originalOptions, jqXHR){
    if (options['type'].toLowerCase() === "post") {
        jqXHR.setRequestHeader('X-CSRFToken', csrf_token);
    }
});

Answer 1

来自 Laravel 文档：

例如，您可以将令牌存储在“元”标签中：

一旦你创建了元标记，你就可以指示一个库，比如 jQuery 将令牌添加到所有请求标头。这提供了简单的， 为基于 AJAX 的应用程序提供方便的 CSRF 保护：

$.ajaxSetup({ 标题：{ 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });

例如，您可以像下面这样请求。

将此元标记添加到您的视图中：

<meta name="csrf-token" content="{{ csrf_token() }}">

这是一个示例脚本，您可以与 Laravel 通信（当您单击 id="some-id" 的元素时发送请求，您可以在 id="result" 的元素中看到响应）：

<script type="text/javascript">
    $(document).ready(function(){

        $.ajaxSetup({
            headers:
            { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }
        });

        $("#some-id").on("click", function () {
            var request;


            request = $.ajax({
                url: "/your/url",
                method: "POST",
                data:
                {
                    a: 'something',
                    b: 'something else',
                },
                datatype: "json"
            });

            request.done(function(msg) {
                $("#result").html(msg);
            });

            request.fail(function(jqXHR, textStatus) {
                $("#result").html("Request failed: " + textStatus);
            });
        });

    });
</script>

Answer 2

您的$.ajaxPrefilter 方法很好。不过，您不需要添加标题；您只需向data 字符串添加一个属性。

数据作为$.post 的第二个参数提供，然后在预过滤器访问data 选项之前格式化为查询字符串(id=foo&bar=baz&...)。因此，您需要将自己的字段添加到查询字符串中：

var csrf_token = $('meta[name="csrf-token"]').attr('content');
$.ajaxPrefilter(function(options, originalOptions, jqXHR){
    if (options.type.toLowerCase() === "post") {
        // initialize `data` to empty string if it does not exist
        options.data = options.data || "";

        // add leading ampersand if `data` is non-empty
        options.data += options.data?"&":"";

        // add _token entry
        options.data += "_token=" + encodeURIComponent(csrf_token);
    }
});

这会将id=userID 变成id=userID&_token=csrf_token。

Answer 3

总的来说，我同意 Kornel 提出的概念，除了一件事。

是的，Laravel 的文档建议使用 $.ajaxSetup，但不建议这样做，因为此方法会影响所有后续的 ajax 请求。为每个请求设置 ajax 设置更正确。虽然你可以重新设置东西：

使用任何函数的所有后续 Ajax 调用都将使用新设置，除非被单独的调用覆盖，直到下一次调用 $.ajaxSetup()

如果您使用$.ajax()，则使用data 属性或headers 会更方便。 Laravel 允许 CSRF-token 作为请求参数或标头。

首先，将以下元标记添加到视图中

<meta name="csrf-token" content="{{ csrf_token() }}">

然后以任一方式发出 ajax 请求：

$.ajax({
    url: "/your/url",
    method: "POST",
    data:
    {
        a: 'something',
        b: 'something else',
        _token: $('meta[name="csrf-token"]').attr('content')
    },
    datatype: "json"
});

或

$.ajax({
    url: "/your/url",
    method: "POST",
    data:
    {
        a: 'something',
        b: 'something else',
    },
    headers: 
    {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
    datatype: "json"
});

Answer 4

Django documentation on CSRF 提供了一个不错的代码 sn-p 和 ajaxSetup，用于在所有重要的请求类型中自动添加适当的标头：

function csrfSafeMethod(method) {
    // these HTTP methods do not require CSRF protection
    return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
            xhr.setRequestHeader("X-CSRFToken", csrftoken);
        }
    }
});

Answer 5

我认为上述解决方案可能效果不佳。当你这样做时：

var x; 
x + ""
// "undefined" + empty string coerces value to string 

你会得到类似“undefined_token=xxx”的数据

例如，当您使用上述解决方案进行 laravel 的删除时，您必须像这样检查：

if (typeof options.data === "undefined")
    options.data = "";
else
    options.data += "&";
options.data = "_token=" + csrf_token;

Answer 6

有一种更简单的方法可以做到这一点，您可以在发送之前像这样序列化数据

<form method="post" id="formData">
 <input type="text" name="name" >
 <input type="hidden" name="_token" value="{{ csrf_token() }}">
 <input type="submit" id="sub" class="btn btn-default" value="Submit" />                            
</form>
<script>
    $(document).on('submit', '#formData', function (event) {
    event.preventDefault();
     var formData = $('#formData').serialize();
    $.ajax({
        url: url,
       type: "POST",
       data : formData,   
                success: function (result) {
                    console.log(result);                             
                }
           });
        });

    });
</script>

名称为 attr 的所有内容都将被放入查询并提交

Answer 7

无需设置任何元标记，csrf_token()和 csrf_field() ！

你可以使用这个 jQuery sn-p ：

$.ajaxPrefilter(function( settings, original, xhr ) {
    if (['post','put','delete'].includes(settings.type.toLowerCase())
        && !settings.crossDomain) {
            xhr.setRequestHeader("X-XSRF-TOKEN", getCookie('XSRF-TOKEN'));
    }
});

function getCookie(name) {
    var cookieValue = null;
    if (document.cookie && document.cookie != '') {
        var cookies = document.cookie.split(';');
        for (var i = 0; i < cookies.length; i++) {
            var cookie = jQuery.trim(cookies[i]);
            // Does this cookie string begin with the name we want?
            if (cookie.substring(0, name.length + 1) == (name + '=')) {
                cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
                break;
            }
        }
    }
    return cookieValue;
}

只有少数其他答案尝试设置 csrf 标头，但根据 Laravel 文档 (here) ，标头键应为 "X-XSRF-TOKEN" 并且 Laravel 本身提供所需的值在名为 "XSRF-TOKEN"

的 cookie 中对我们的每个请求

所以刚刚更正了键并编辑了几行，谢谢