Laravel по-русски
Введение
Laravel позволяет легко защитить ваше приложение от атак с подделкой межсайтовых запросов (CSRF). Подделка межсайтовых запросов — тип атаки на сайты, при котором несанкционированные команды выполняются от имени аутентифицированного пользователя.
Laravel автоматически генерирует CSRF-"токен" для каждой активной пользовательской сессии в приложении. Этот токен используется для проверки того, что именно авторизованный пользователь делает запрос в приложение.
При определении каждой HTML-формы вы должны включать в неё скрытое поле CSRF-токена, чтобы посредник CSRF-защиты мог проверить запрос. Вы можете использовать вспомогательную функцию PHPcsrf_field() для генерирования поля токена:
<form method="POST" action="/profile">
{{ csrf_field() }}
...
</form>
Посредник PHPVerifyCsrfToken, входящий в группу посредников web, автоматически проверяет совпадение токена в данных запроса с токеном, хранящимся в сессии.
Исключение URI из CSRF-защиты
Иногда бывает необходимо исключить набор URI из-под CSRF-защиты. Например, если вы используете Stripe для обработки платежей и применяете их систему веб-хуков (hook), то вам надо исключить маршрут вашего обработчика веб-хуков Stripe из-под CSRF-защиты, так как Stripe не будет знать, какой CSRF-токен надо послать в ваш маршрут.
Обычно такие маршруты помещаются вне группы посредников web, которую PHPRouteServiceProvider применяет ко всем маршрутам в файле routes/web.php. Но вы также можете исключить маршруты, добавив их URI в свойство PHP$except посредника PHPVerifyCsrfToken:
<?php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class VerifyCsrfToken extends BaseVerifier
{
/**
* URI, которые надо исключить из CSRF-проверки.
*
* @var array
*/
protected $except = [
'stripe/*',
];
}
X-CSRF-TOKEN
Помимо проверки CSRF-токена как POST-параметра, посредник PHPVerifyCsrfToken будет также проверять заголовок запроса X-CSRF-TOKEN. Например, вы можете хранить токен в HTML-теге meta:
<meta name="csrf-token" content="{{ csrf_token() }}">
После создания тега meta вы можете указать библиотеке, такой как jQuery, автоматически добавлять токен в заголовки всех запросов. Это обеспечивает простую, удобную CSRF-защиту для ваших приложений на базе AJAX:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
X-XSRF-TOKEN
Laravel хранит текущий CSRF-токен в cookie XSRF-TOKEN, которую включается в каждый отклик, генерируемый фреймворком. Вы можете использовать значение cookie, чтобы задать заголовок запроса X-XSRF-TOKEN.
Этот cookie в основном посылается для удобства, потому что некоторые JavaScript-фреймворки, такие как Angular, автоматически помещают его значение в заголовок X-XSRF-TOKEN.
Комментарии (7)
не поняла немного. что означает : «Посредник VerifyCsrfToken, входящий в группу посредников web, автоматически проверяет совпадение токена в данных запроса с токеном, хранящимся в сессии»
понятие «токен в зданных запроса» откуда он берется?
Из поля в форме, которое генерируется
PHPcsrf_field().csrf_field() во вьюхе рендерится как <input type="hidden" name="_token" value="значение токен">
Встроил в форму предложенную функцию. Все равно форма не отправляется
<form action="/comments" method="POST">
csrf_field()
Понятно, что в web прописано
Route::post('/comments',function() {
print_r($_POST);
});
Но форма все равно не отправляется
Ошибка
Symfony \ Component \ HttpKernel \ Exception \ MethodNotAllowedHttpException
No message
так ты заверни 'comments' и 'csrf_field' в {{}}
Если версия Лары 5.7, то после тега формы попробуй добавить @method('post')
вид наверное был создан просто как .php без добавления .blade