ajax csrf php,Laravel中Ajax调用时的CSRF对策
我最討厭在文章開頭重復一些基礎知識了…… 但是大家都這么做(-__-)b
CSRF是”cross site request forgery”的意思,簡單來說就是防止惡意頁面中一個簡單的form提交,就向你保持了登陸狀態了網站里請求做一些你不想做的事情……言盡于此,我們之間看Laravel里的CSRF相關的內容吧!
Laravel(5以后)有個默認的CSRF middleWare,所有POST,PUT請求都會經過這個middleWare,看有沒有csrf的token存在并且匹配,不存在的話就會拋出錯誤頁面。提一句,如果做微信接口的話,一定要在接口地址上把這個middleWare給去掉,因為微信大多數都是把數據POST過來的,而你不能奢望微信給你附上一個csrf_token。。。
在Laravel的表單中,埋入一個就可以在表單請求的時候發出正確的token,這樣就不會有問題了,而在ajax請求的時候呢,方法多多~
1. 如果你是用ajax submit一個已經存在的form,那么就和平常一樣,把csrf藏在表單里就好了,萬事大吉。
2. 如果你不是提交表單,那么就要考慮將token值放在一個什么地方,比如還是一個input中,然后ajax提交的時候去讀取這個input,附在提交值中。
3. 當然,token值也可以不放在提交的值中,而放在headers里,如果你的js腳本直接寫在blade模板里,可以用
JavaScript
$.ajaxSetup({
headers: { 'X-CSRF-TOKEN' : '{{ csrf_token() }}' }
});
1
2
3
$.ajaxSetup({
headers:{'X-CSRF-TOKEN':'{{ csrf_token() }}'}
});
來把token值提交給服務器。
4. 當然很多時候js是在靜態文件里的,那么可以把token值放在html的meta里,就像這樣
PHP
1
這樣就能用
JavaScript
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="_token"]').attr('content')
}
});
1
2
3
4
5
$.ajaxSetup({
headers:{
'X-CSRF-TOKEN':$('meta[name="_token"]').attr('content')
}
});
5. 然而以上的方法都不夠帥!!!因為你總是要在頁面的什么地方調用csrf_token()輸出這個值,然后用js腳本獲得這個值~
我看Laravel源碼的時候發現,Laravel默認會把CSRF_TOKEN的值寫在一個叫XCRF-TOKEN的cookie中,其實每次訪問這個值都會發生變化,那我們只要用這個值就好了嘛,下面就是見證奇跡的時刻(好古老的梗):
JavaScript
$.ajaxSetup({
headers: {
'X-XSRF-TOKEN': $.cookie('XSRF-TOKEN')
}
});
1
2
3
4
5
$.ajaxSetup({
headers:{
'X-XSRF-TOKEN':$.cookie('XSRF-TOKEN')
}
});
在某個全局地方調用這個就好了,你不需要再手動輸出token了(當然你要用cookie插件)!注意這里的XSRF而不是CSRF了。
總結
以上是生活随笔為你收集整理的ajax csrf php,Laravel中Ajax调用时的CSRF对策的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: php学历低,学历低学起php来难不难
- 下一篇: Aux函数java,verse.aux