laravel5.3 中 ajax post 请求需要自己将 VerifyCsrfToken 加入到 Kernel. PHP 中吗?

2017-03-21 15:47:56 +08:00
 xx19941215

我在写一个 ajax post 控制器的时候想到了需要做 csrf 防御。看网上说 ajax 发请求的时候可以加_token 字段或者设置请求头来解决身份问题。我在 Illuminate\Foundation\Http\Middleware\VerifyCsrfToken 中也看到了相关的代码:

protected function tokensMatch($request)
    {
        $sessionToken = $request->session()->token();
        //使用_token 字段或者请求头中的 X-CSRF-TOKEN 做$token
        $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

        if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
            //没有的话使用 cookie 中加密的 X-XSRF-TOKEN 解密之后作为$token
            $token = $this->encrypter->decrypt($header);
        }

        if (! is_string($sessionToken) || ! is_string($token)) {
            return false;
        }
        //判断是否相等
        return hash_equals($sessionToken, $token);
    }

好了,下面说我的疑问,

Route::group([
    'prefix' => 'api'
], function(){
        Route::post('/collection/collect', 'Collection\Rest\CollectionCollectController@post')
        ->name('collectionCollect');});

以上是路由,以下是控制器

<?php
namespace App\Http\Controllers\Mass\Collection\Rest;

use App\Http\Controllers\Controller;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\DB;

class CollectionCollectController extends Controller
{
    public function post(Request $request)
    {
        DB::table('collection_product')->insert([
            'c_eid' => $request->get('c_eid'),
            'p_eid' => $request->get('p_eid')
        ]);

        return [
            'status' => 'ok'
        ];
    }
}

我在使用使用 js 异步访问该路由的时候在上面说到的tokensMatch方法中试图打印出$token 但是发现程序并没有走这个中间件。

protected function tokensMatch($request)
    {
        $sessionToken = $request->session()->token();
        //使用_token 字段或者请求头中的 X-CSRF-TOKEN 做$token
        $token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

        if (! $token && $header = $request->header('X-XSRF-TOKEN')) {
            //没有的话使用 cookie 中加密的 X-XSRF-TOKEN 解密之后作为$token
            $token = $this->encrypter->decrypt($header);
        }

        if (! is_string($sessionToken) || ! is_string($token)) {
            return false;
        }
        //打印$token,但是发现这里没有执行
        dd($token);
        return hash_equals($sessionToken, $token);
    }

这样看来,是需要自己将 VerifyCsrfToken 中间件加到 Kernel.php 中的$middlewareGroups中吗?

protected $middlewareGroups = [
        'web' => [
            \App\Http\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \App\Http\Middleware\VerifyCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ],

        'api' => [
            'throttle:60,1',
            'bindings',
        ],
    ];

加入到'api'中?

1855 次点击
所在节点    PHP
4 条回复
jellybool
2017-03-21 16:31:43 +08:00
看你路由注册在 web.php 还是 api.php
zaishanfeng
2017-03-21 16:34:42 +08:00
取消就行。 往这各类上面看 有个变量是控制哪些路由可以取消
xx19941215
2017-03-21 16:49:39 +08:00
@jellybool 注册在 api 里面
xx19941215
2017-03-21 17:38:00 +08:00
结帖,是需要的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/349151

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX