Laravel CSRF 中间件未检查 X-CSRF-TOKEN 请求标头
Posted
技术标签:
【中文标题】Laravel CSRF 中间件未检查 X-CSRF-TOKEN 请求标头【英文标题】:Laravel CSRF middleware is not checking X-CSRF-TOKEN request header 【发布时间】:2016-03-29 15:31:52 【问题描述】:中间件:
use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
public function handle($request, Closure $next)
return parent::handle($request, $next);
$.ajaxSetup(
headers:
'X-CSRF-TOKEN': 'wrong-token-to-test',
'X-XSRF-TOKEN': 'another-wrong-token-to-test',
);
刀片:
$.ajax(
method: "POST",
url: "url("login/$user")",
data:
"email": $("#email").val(),
"password": CryptoJS.SHA256($('#password').val()).toString(),
"_token": "csrf_token()"
)
即使为 csrf 令牌使用错误的 Http 标头值('wrong-token-to-test')也不会导致任何令牌不匹配异常。请求被正常处理。这是否意味着 Laravel 没有检查 X-CSRF-TOKEN 标头?
【问题讨论】:
【参考方案1】:Laravel first 尝试从 get 或 post 中名为 _token 的参数中获取 CSRF 令牌,如果丢失,THEN 它会尝试从X-CSRF-TOKEN 获取。这里是/vendor/laravel/framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken中代码中的实现逻辑,方法tokensMatch:
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
但是您已经在您的 ajax 帖子中有效地包含了 _token 参数(并且具有正确的值):
"_token": "csrf_token()"
因此,您在 X-CSRF-TOKEN 标头中发送的内容并不重要。
【讨论】:
以上是关于Laravel CSRF 中间件未检查 X-CSRF-TOKEN 请求标头的主要内容,如果未能解决你的问题,请参考以下文章