laravel通过自动生成和校验csrf令牌防止跨站请求伪造,使用@csrf指令插入令牌,由VerifyCsrfToken中间件校验POST等请求,ajax需通过meta标签传递令牌,可排除API路由校验,保障表单与会话安全。
Laravel 通过内置的 CSRF(跨站请求伪造)保护机制,有效防止恶意用户利用已认证用户的身份执行非本意的操作。这一安全机制主要依赖于 CSRF 令牌(CSRF Token)的生成与校验,广泛应用于表单提交等敏感操作中。
CSRF 令牌的自动生成与注入
Laravel 在每个会话中为用户生成唯一的 CSRF 令牌,确保每个请求来源的合法性。开发者无需手动创建该令牌,框架会在用户会话初始化时自动处理。
在表单中使用 @csrf Blade 指令,即可自动插入一个包含 CSRF 令牌的隐藏输入字段:
<form method="POST" action="/profile"> @csrf <!-- 其他表单项 --> </form>上述代码会被编译为:
<input type="hidden" name="_token" value="your-csrf-token-here">中间件自动校验 CSRF 令牌
Laravel 使用 VerifyCsrfToken 中间件对 POST、PUT、PATCH 和 delete 请求进行令牌校验。该中间件默认注册在 app/http/Kernel.php 的 web 中间件组中,因此所有通过 web 路由的请求都会受到保护。
当请求到达服务器时,中间件会检查请求中的 _token 参数是否与当前会话中的 CSRF 令牌一致。若不匹配,系统将抛出 419 响应(Page Expired),阻止请求继续执行。
以下情况可能触发校验失败:
- 表单缺少 @csrf 指令
- 页面长时间未提交导致会话过期
- AJAX 请求未携带令牌
排除特定路由的 CSRF 校验
对于 API 接口或第三方回调等场景,通常不适用基于会话的 CSRF 保护。可在 AppHttpMiddlewareVerifyCsrfToken 类的 $except 属性中添加不需要校验的路径:
protected $except = [ 'api/*', 'webhook/stripe', ];这些路径下的请求将跳过令牌检查,适合无状态的 API 认证方式(如 Bearer Token)。
AJAX 请求中的 CSRF 处理
在使用 Axios 或 jquery 发送 AJAX 请求时,需确保每次请求都携带 CSRF 令牌。Laravel 推荐将令牌存储在 html meta 标签中:
<meta name="csrf-token" content="{{ csrf_token() }}">然后在 javaScript 中读取并设置到请求头:
$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });这样所有后续的 AJAX 请求都会自动包含 CSRF 令牌,避免被中间件拦截。
基本上就这些。Laravel 的 CSRF 保护机制开箱即用,配合简单的模板指令和中间件配置,就能为应用提供可靠的表单安全防护。只要注意在表单和异步请求中正确传递令牌,大多数攻击风险都能有效规避。
以上就是Laravel如何处理跨站请求伪造(CSRF)保护_Laravel表单安全机制与令牌校验的详细内容,更多请关注php中文网其它相关文章!