ajax csrf php,laravel5.3中ajax post请求需要自己将VerifyCsrfToken加入到Kernel.php中吗?

最新推荐文章于 2021-08-05 22:45:13 发布
最新推荐文章于 2021-08-05 22:45:13 发布
阅读量86 收藏
点赞数
文章标签: ajax csrf php

我在写一个ajax post控制器的时候想到了需要做csrf防御。看网上说ajax发请求的时候可以加_token字段或者设置请求头来解决身份问题。我在

IlluminateFoundationHttpMiddlewareVerifyCsrfToken中也看到了相关的代码:

protected function tokensMatch($request)

{

$sessionToken = $request->session()->token();

//使用_token字段或者请求头中的X-CSRF-TOKEN做$token

$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

if (! $token && $header = $request->header('X-XSRF-TOKEN')) {

//没有的话使用cookie中加密的X-XSRF-TOKEN解密之后作为$token

$token = $this->encrypter->decrypt($header);

}

if (! is_string($sessionToken) || ! is_string($token)) {

return false;

}

//判断是否相等

return hash_equals($sessionToken, $token);

}

好了,下面说我的疑问,

Route::group([

'prefix' => 'api'

], function(){

Route::post('/collection/collect', 'Collection\Rest\CollectionCollectController@post')

->name('collectionCollect');});

以上是路由,以下是控制器

<?php

namespace App\Http\Controllers\Mass\Collection\Rest;

use App\Http\Controllers\Controller;

use Illuminate\Http\Request;

use Illuminate\Support\Facades\DB;

class CollectionCollectController extends Controller

{

public function post(Request $request)

{

DB::table('collection_product')->insert([

'c_eid' => $request->get('c_eid'),

'p_eid' => $request->get('p_eid')

]);

return [

'status' => 'ok'

];

}

}

我在使用使用js异步访问该路由的时候在上面说到的

tokensMatch

方法中试图打印出$token

但是发现程序并没有走这个中间件。

protected function tokensMatch($request)

{

$sessionToken = $request->session()->token();

//使用_token字段或者请求头中的X-CSRF-TOKEN做$token

$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');

if (! $token && $header = $request->header('X-XSRF-TOKEN')) {

//没有的话使用cookie中加密的X-XSRF-TOKEN解密之后作为$token

$token = $this->encrypter->decrypt($header);

}

if (! is_string($sessionToken) || ! is_string($token)) {

return false;

}

//打印$token,但是发现这里没有执行

dd($token);

return hash_equals($sessionToken, $token);

}

这样看来,是需要自己将VerifyCsrfToken中间件加到Kernel.php中的

$middlewareGroups

中吗?

protected $middlewareGroups = [

'web' => [

\App\Http\Middleware\EncryptCookies::class,

\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,

\Illuminate\Session\Middleware\StartSession::class,

\Illuminate\View\Middleware\ShareErrorsFromSession::class,

\App\Http\Middleware\VerifyCsrfToken::class,

\Illuminate\Routing\Middleware\SubstituteBindings::class,

],

'api' => [

'throttle:60,1',

'bindings',

],

];

加入到

'api'

中?

哎,既然你要防csrf,就要加上去。laravel默认情况下创建的api中间件组是没有防csrf的。

结帖。是需要

漫威DC说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Djangoajax发送post请求 报403错误CSRF验证失败解决方案
12-31
今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败;先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了;很显然,用ajax发送post请求这样就白搭了; 文末...
Laravel VerifyCsrfToken 报错解决
u011415782的专栏
02-08 8689
♩. 报错情况 form 表单进行 post 方式提交数据时,遇到如下的报错情况 TokenMismatchException in VerifyCsrfToken.php line 67: in VerifyCsrfToken.php line 67 at VerifyCsrfToken-&gt;handle(object(Request), object(Closure)) ...
laravel报错:TokenMismatchException in VerifyCsrfToken.php
铁柱的博客
11-17 1万+
这个错误是刚学习Laravel的时候碰到的,只是当时还没开始写博客,一直也没记录下来,今天下午又碰到了这个问题,趁着这会儿没啥事,赶紧总结下。一、为什么报这个错误答:这是由于laravel框架自带的csrf_token防护间件的原因。这个间件的位置在/app/middleware/VrifyCsrfToken.php。这个间件的作用就是为了过滤Post请求。      Laravel自动为每个
laravel 出现ajax请求419 unknown status
热门推荐
Quan的博客
07-15 2万+
这个是因为laravel自带CSRF验证的问题 解决方法 方法一:去关掉laravelcsrf验证,但这个人不建议,方法也不写出来了。 方法二:把该接口写到api.php上就好了 方法三: 首先在页面加上 &lt;meta name="csrf-token" content="{{ csrf_token() }}" /&gt; 然后请求的在header里面加上 'X-C...
laravel ajax POST请求 错误 TokenMismatchException in VerifyCsrfToken.php (line 68)
路一直在
09-28 3032
因为:laravel 默认开启了 csrf验证下面有几种方法解决: 1. <form id="editForm"> {{ csrf_field() }} ....2.<form id="editForm"> <input type="hidden" name="_token" value="{csrf_t
ajax csrf php,JQueqy Ajax的使用(POST\GET请求 csrf_token)
weixin_42442651的博客
03-29 146
一,Ajax GET请求POST请求知识点1,GET请求不用添加 {% csrf_token%} ,也不会报csrftoken的错2,POST请求的话,就需要添加{% csrf_token%} 标签, 而且要使用$.ajax() 方法,将token传递到服务端3,传递过去就行了,后台自动会处理,无需用手工处理这个token二,以下是代码示例以下是index.html代码示例(里面有使用aja...
安全开发 | 如何让Django框架CSRF_Token通过AJAXPOST请求后端服务
05-07
用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景。...
Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)
10-16
今天小编就为大家分享一篇Laravel 解决419错误 -ajax请求错误的问题(CSRF验证),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
laravel 对读请求csrf-token 验证
weixin_41565755的博客
04-13 619
1、laravel默认是不对 对于重要的读请求进行csrf-token 验证的,但是对于对于一些重要的读方法,也可以添加保护。 protected function isReading($request) { return in_array($request->method(), ['HEAD', 'GET', 'OPTIONS']); } 2、对读请求csrf-token 验证 (1)namespace Illuminate\Foundati..
ajax csrf php,请教 ajax 怎么使用 CSRF?
weixin_36327582的博客
03-25 63
按照文档上说的,我使用var csrftoken = "{{ csrf_token() }}"$.ajaxSetup({beforeSend: function(xhr, settings) {if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {xhr.setRequestHea...
ajax解决csrf
小白
04-08 3102
ajax跨站请求 方式一 $.ajax({ url: "/cookie_ajax/", type: "POST", data: { "username": "Q1mi", "password": 123456, "csrfmiddlewaretoken": $("[name = 'csrfmiddlewaretoken']&quot
ajax如何加csrf,Ajax请求如何设置csrf_token
weixin_35208812的博客
08-05 1601
1. 方式一通过获取隐藏的input标签csrfmiddlewaretoken值,放置在data发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
Laravel表单验证,验证规则
懒虫的博客
12-11 3481
1 表单校验 检查应用程序的基底控制器 (App\Http\Controllers\Controller) 类你会看到这个类使用了 ValidatesRequests trait。这个 trait 在你所有的控制器里提供了方便的 validate 验证方法。 validate 方法会接收 HTTP 传入的请求以及验证的规则。如果验证通过,你的代码就可以正常的运行。若验证失败,则会抛出异常错误消息并...
2023年美赛特等奖论文-F-2305794-解密.pdf
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,2023年美赛特等奖O奖论文
亚太经社会:2024年亚太贸易便利化报告.pdf
05-06
亚太经社会:2024年亚太贸易便利化报告.pdf
消费者价格指数下的年通货膨胀率(1960-2021年).xls
05-06
消费者价格指数(CPI):按消费者价格指数衡量的通货膨胀反映出普通消费者在指定时间间隔(如年度)内购买固定或变动的一篮子货物和服务的成本的年百分比变化。通常采用拉斯佩尔公式进行计算。
node-v8.10.0-linux-x86.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于django使用ajax发送post请求时,都可以使用哪种方法携带csrf token
03-24
你可以使用 jQuery 的 ajax 函数在请求携带 CSRF token,以确保安全性。可以这样设置: ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings) { xhr.setRequestHeader('X-CSRFToken', $('input...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值