我最近迁移到了Laravel 5,现在CSRF检查在每个帖子提交时都有。我想过删除它,但我想遵循最佳实践,所以我会保持这种方式。
另一方面,我在提交ajax请求时遇到了问题......我的页面有多个表单,有些提交甚至不是来自表单,只是普通的ajax调用。我的想法是在页面上有一个隐藏的"令牌"输入,并将其附加到每个提交中。拥有通用的单一令牌输入有什么缺点吗?
另外,如何输出令牌?只在页面页脚上创建一个隐藏的输入可以吗?
我没有看到任何缺点。您可以在布局文件中轻松创建全局令牌字段:
<input type="hidden" name="_token" id="csrf-token" value="{{ Session::token() }}" />
或者,如果您使用表单构建器:
{!! Form::token() !!}
在jQuery中,你可以使用这样的东西将令牌附加到每个请求。
有一个帮助程序可以在表单中添加表单令牌。你可以只使用
{!! csrf_field() !!}
在表单内。它将添加隐藏的输入和令牌。
您可以在页面底部使用类似以下内容:
$('form').append('{{csrf_field()}}');
这会将隐藏的输入附加到您的所有forms:
<input type="hidden" name="_token" value="yIcHUzipr2Y2McGE3EUk5JwLOPjxrC3yEBetRtlV">
对于您的所有 AJAX 请求:
$.ajaxSetup({
beforeSend: function (xhr, settings) {
//////////// Only for your domain
if (settings.url.indexOf(document.domain) >= 0) {
xhr.setRequestHeader("X-CSRF-Token", "{{csrf_token()}}");
}
}
});
以下是我如何让我的CSRF在jQuery Mobile应用程序中的所有不同场景中工作的一些摘录,我最近升级到使用Laravel 5:
我在变量中添加了一个加密的 csrf 令牌,该令牌将传递给我的主基本控制器中的视图: app'Http'Controllers'MyController.php
$this->data['encrypted_csrf_token'] = Crypt::encrypt(csrf_token());
然后,我在主视图标题中添加了元标记: resources'views'partials'htmlHeader.blade.php
<meta name="_token" content="{!! $encrypted_csrf_token !!}"/>
然后,我还按照一些论坛的建议添加了这个jquery片段:
$(function () {
$.ajaxSetup({
headers: {
'X-XSRF-TOKEN': $('meta[name="_token"]').attr('content')
}
});
});
但是,关键(至少对于我的设置(是在我的自定义 VerifyCsrfToken 中间件中添加了对 XSRF-TOKEN cookie 的检查: app'Http'Middleware'VerifyCsrfToken.php:
/**
* Determine if the session and input CSRF tokens match.
*
* @param 'Illuminate'Http'Request $request
* @return bool
*/
protected function tokensMatch($request)
{
$token = $request->session()->token();
$header = $request->header('X-XSRF-TOKEN');
$cookie = $request->cookie('XSRF-TOKEN');
return StringUtils::equals($token, $request->input('_token')) ||
($header && StringUtils::equals($token, $this->encrypter->decrypt($header))) ||
($cookie && StringUtils::equals($token, $cookie));
}
在我添加之前,由于TokenMismatchException,几乎所有的 AJAX POST(包括表单提交和延迟加载列表视图(都失败了。
编辑:再三考虑,我不确定将会话令牌与 cookie 中设置的令牌进行比较有多大意义(它首先来自会话令牌,对吧? 这可能只是绕过了这一切的安全性。
我认为我的主要问题是上面的jquery代码片段,它应该将X-XSRF-TOKEN 标头添加到每个ajax请求中。 这在我的jQuery移动应用程序(特别是在我的lazyloader插件中(中对我不起作用,直到我为插件本身添加了一些选项。 我添加了一个新的默认选择器csrf(在这种情况下会meta[name="_token"](和一个新的默认设置csrfHeaderKey(在这种情况下会X-XSRF-TOKEN(。 基本上,在插件初始化期间,如果 CSRF 令牌可由csrf选择器(默认或用户定义(定位,则使用 CSRF 令牌初始化一个新的 _headers 属性。 然后,在可以触发 ajax POST 的 3 个不同位置(重置会话变量或延迟加载列表视图时(,$.ajax 的标头选项与 _headers 中的任何内容一起设置。
无论如何,由于在服务器端收到的 X-XSRF-TOKEN 来自加密的元_token,我认为 CSRF 保护现在正在正常工作。
我的app'Http'Middleware'VerifyCsrfToken.php现在看起来像这样(基本上回到了 Laravel 5 提供的默认实现 - LOL(:
/**
* Determine if the session and input CSRF tokens match.
*
* @param 'Illuminate'Http'Request $request
* @return bool
*/
protected function tokensMatch($request)
{
$token = $request->session()->token();
$_token = $request->input('_token');
$header = $request->header('X-XSRF-TOKEN');
return StringUtils::equals($token, $_token) ||
($header && StringUtils::equals($token, $this->encrypter->decrypt($header)));
}
你可以做这样的事情(如果我有机会,未测试会更新(
$(document).on('submit', 'form', function(e)
$(this).append('<input name="_token" value="{{{ Session::token() }}}">);
});
实际上,您可能希望将令牌存储在过期时重新更新的变量中。
在提交时附加它的好处是,如果您通过 ajax 附加元素,我认为它仍然可以工作而无需添加任何其他内容。
编辑:这是一篇关于将Rails UJS与Laravel一起使用的好文章(其中包括此自动CRSF令牌功能(:https://medium.com/@barryvdh/unobtrusive-javascript-with-jquery-ujs-and-laravel-e05f444d3439
您需要传递包含csrf-token加密版本的标头X-XSRF-TOKEN。
我知道有两种方法可以做到这一点。您可以加密令牌并将其传递到视图:
$xsrfToken = app('Illuminate'Encryption'Encrypter')->encrypt(csrf_token());
return view('some.ajax.form.view')->with('xsrf_token', $xsrfToken);
或者你可以使用JavaScript从cookie中获取令牌(Angular使这变得容易(。在vanilla JS中,你可以做这样的事情:
function getCookie(name) {
var pattern = RegExp(name + "=.[^;]*")
matched = document.cookie.match(pattern)
if (matched) {
var cookie = matched[0].split('=')
return decodeURIComponent(cookie[1])
}
return false
}
在jQuery中,你可以对ajax请求做这样的事情:
$.ajax({
// your request
//
beforeSend: function(request) {
return request.setRequestHeader('X-XSRF-TOKEN', getCookie('XSRF-TOKEN'));
}
});
所有答案都不涵盖JS文件。如果我们不使用刀片并且我们想使用 JS 文件怎么办。边栏选项卡语法在那里不起作用。
因此,这是适用于表单和Ajax的代码。
var csrf = document.querySelector('meta[name="csrf-token"]').content;
var csrf_field = '<input type="hidden" name="_token" value=“'+csrf+'”>';
$('form').append(csrf_field);
$.ajaxSetup({
beforeSend: function (xhr, settings) {
if (settings.url.indexOf(document.domain) >= 0) {
xhr.setRequestHeader("X-CSRF-Token", csrf);
}
}
});