{{TOC}}

{{DOCVER 5.3=c06d6a2352ed8c767633aab9c20f2bf7d880c967 28.01.2017 5:00:51}}

== Введение ==
Laravel позволяет легко защитить ваше приложение от атак с ((https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F_%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%B0 подделкой межсайтовых запросов)) (CSRF). Подделка межсайтовых запросов - тип атаки на сайты, при котором несанкционированные команды выполняются от имени аутентифицированного пользователя.

Laravel автоматически генерирует CSRF-"токен" для каждой активной пользовательской сессии в приложении. Этот токен используется для проверки того, что именно авторизованный пользователь делает запрос в приложение.

При определении каждой HTML-формы вы должны включать в неё скрытое поле CSRF-токена, чтобы посредник CSRF-защиты мог проверить запрос. Вы можете использовать вспомогательную функцию %%csrf_field()%% для генерирования поля токена:
%%
<form method="POST" action="/profile">
  {{ csrf_field() }}
  ...
</form>
%%

((//docs/v5/middleware Посредник)) %%VerifyCsrfToken%%, входящий в группу посредников %%(t)web%%, автоматически проверяет совпадение токена в данных запроса с токеном, хранящимся в сессии.

== Исключение URI из CSRF-защиты ==
Иногда бывает необходимо исключить набор URI из-под CSRF-защиты. Например, если вы используете ((https://stripe.com Stripe)) для обработки платежей и применяете их систему веб-хуков (//hook//), то вам надо исключить маршрут вашего обработчика веб-хуков Stripe из-под CSRF-защиты, так как Stripe не будет знать, какой CSRF-токен надо послать в ваш маршрут.

Обычно такие маршруты помещаются вне группы посредников %%(t)web%%, которую %%RouteServiceProvider%% применяет ко всем маршрутам в файле %%(t)routes/web.php%%. Но вы также можете исключить маршруты, добавив их URI в свойство %%$except%% посредника %%VerifyCsrfToken%%:
%%
<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
  /**
   * URI, которые надо исключить из CSRF-проверки.
   *
   * @var array
   */
  protected $except = [
    'stripe/*',
  ];
}
%%

== X-CSRF-TOKEN ==
Помимо проверки CSRF-токена как POST-параметра, посредник %%VerifyCsrfToken%% будет также проверять заголовок запроса %%(t)X-CSRF-TOKEN%%. Например, вы можете хранить токен в HTML-теге %%(t)meta%%:
%%
<meta name="csrf-token" content="{{ csrf_token() }}">
%%

После создания тега %%(t)meta%% вы можете указать библиотеке, такой как jQuery, автоматически добавлять токен в заголовки всех запросов. Это обеспечивает простую, удобную CSRF-защиту для ваших приложений на базе AJAX:
%%
$.ajaxSetup({
  headers: {
    'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
  }
});
%%

== X-XSRF-TOKEN ==
Laravel хранит текущий CSRF-токен в cookie %%(t)XSRF-TOKEN%%, которую включается в каждый отклик, генерируемый фреймворком. Вы можете использовать значение cookie, чтобы задать заголовок запроса %%(t)X-XSRF-TOKEN%%.

Этот cookie в основном посылается для удобства, потому что некоторые JavaScript-фреймворки, такие как Angular, автоматически помещают его значение в заголовок %%(t)X-XSRF-TOKEN%%.