ajax csrf php,Laravel中Ajax调用时的CSRF对策
我最討厭在文章開頭重復(fù)一些基礎(chǔ)知識了…… 但是大家都這么做(-__-)b
CSRF是”cross site request forgery”的意思,簡單來說就是防止惡意頁面中一個(gè)簡單的form提交,就向你保持了登陸狀態(tài)了網(wǎng)站里請求做一些你不想做的事情……言盡于此,我們之間看Laravel里的CSRF相關(guān)的內(nèi)容吧!
Laravel(5以后)有個(gè)默認(rèn)的CSRF middleWare,所有POST,PUT請求都會(huì)經(jīng)過這個(gè)middleWare,看有沒有csrf的token存在并且匹配,不存在的話就會(huì)拋出錯(cuò)誤頁面。提一句,如果做微信接口的話,一定要在接口地址上把這個(gè)middleWare給去掉,因?yàn)槲⑿糯蠖鄶?shù)都是把數(shù)據(jù)POST過來的,而你不能奢望微信給你附上一個(gè)csrf_token。。。
在Laravel的表單中,埋入一個(gè)就可以在表單請求的時(shí)候發(fā)出正確的token,這樣就不會(huì)有問題了,而在ajax請求的時(shí)候呢,方法多多~
1. 如果你是用ajax submit一個(gè)已經(jīng)存在的form,那么就和平常一樣,把csrf藏在表單里就好了,萬事大吉。
2. 如果你不是提交表單,那么就要考慮將token值放在一個(gè)什么地方,比如還是一個(gè)input中,然后ajax提交的時(shí)候去讀取這個(gè)input,附在提交值中。
3. 當(dāng)然,token值也可以不放在提交的值中,而放在headers里,如果你的js腳本直接寫在blade模板里,可以用
JavaScript
$.ajaxSetup({
headers: { 'X-CSRF-TOKEN' : '{{ csrf_token() }}' }
});
1
2
3
$.ajaxSetup({
headers:{'X-CSRF-TOKEN':'{{ csrf_token() }}'}
});
來把token值提交給服務(wù)器。
4. 當(dāng)然很多時(shí)候js是在靜態(tài)文件里的,那么可以把token值放在html的meta里,就像這樣
PHP
1
這樣就能用
JavaScript
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="_token"]').attr('content')
}
});
1
2
3
4
5
$.ajaxSetup({
headers:{
'X-CSRF-TOKEN':$('meta[name="_token"]').attr('content')
}
});
5. 然而以上的方法都不夠帥!!!因?yàn)槟憧偸且陧撁娴氖裁吹胤秸{(diào)用csrf_token()輸出這個(gè)值,然后用js腳本獲得這個(gè)值~
我看Laravel源碼的時(shí)候發(fā)現(xiàn),Laravel默認(rèn)會(huì)把CSRF_TOKEN的值寫在一個(gè)叫XCRF-TOKEN的cookie中,其實(shí)每次訪問這個(gè)值都會(huì)發(fā)生變化,那我們只要用這個(gè)值就好了嘛,下面就是見證奇跡的時(shí)刻(好古老的梗):
JavaScript
$.ajaxSetup({
headers: {
'X-XSRF-TOKEN': $.cookie('XSRF-TOKEN')
}
});
1
2
3
4
5
$.ajaxSetup({
headers:{
'X-XSRF-TOKEN':$.cookie('XSRF-TOKEN')
}
});
在某個(gè)全局地方調(diào)用這個(gè)就好了,你不需要再手動(dòng)輸出token了(當(dāng)然你要用cookie插件)!注意這里的XSRF而不是CSRF了。
總結(jié)
以上是生活随笔為你收集整理的ajax csrf php,Laravel中Ajax调用时的CSRF对策的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: php学历低,学历低学起php来难不难
- 下一篇: 【ThinkPHP系列篇】ThinkPH