laravel csrf验证总结

laravel csrf验证总结

前言问题:
laravel 在web路由下无论是表单提交啊 还是ajax请求啊 只要是请求方式不满足 ['HEAD', 'GET', 'OPTIONS']
就会报419错误,原因是其自带开启csrf验证,防止csrf攻击
感兴趣的可以看看这部分源码:Illuminate\Foundation\Http\Middleware\VerifyCsrfToken

解决方式:

一.屏蔽csrf验证

部分屏蔽
App\Http\Middleware\VerifyCsrfToken.php
protected $except = [
//这里添加屏蔽的路由地址
];

全部屏蔽
App\Http\Kernel.php
注释 \App\Http\Middleware\VerifyCsrfToken::class,

二.加入csrf验证参数

form提交

<input type="hidden" name="_token" value="{{csrf_token()}}">

ajax提交

<meta name="_token" content="{{csrf_token()}}">
$.ajax({
   url: "xxxx",
   type: "POST",
   data: data,
   headers: {
     'X-CSRF-TOKEN': $('meta[name="_token"]').attr('content')
     },
   success: function (data) {}
  });

注意!!!

因为呢 laravel的token是存储在session里的,所以呢,我遇到了一个大坑,代码传到linux里后 csrf总报错???
最后debug发现 因为提交的token值与session里的不一致
(md 因为 storag2目录么权限 —>storage/framework/sessions 是存储session的目录)
开启777就ok了

最后总结一下排错顺序

1.检查表单有没有 csrf_token
2.linux 下storage有没有读写权限
3.检查session存储位置时候更换过(换过里面还是否有_token)
4.清除浏览器缓存,laravel缓存
最后没招 自己源码debug吧

到此这篇关于laravel csrf验证总结的文章就介绍到这了,更多相关laravel csrf验证内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • laravel与thinkphp之间的区别与优缺点

    Laravel框架: Laravel是当今最熟练,流行和广泛使用的开源框架之一,一直秉承着优雅的原则,完美支持**composer**,实现了更丰富的扩展,社区文档活跃,相较于TP,Lavavel更庞大,安全性也更高,更适合开发大中型项目,被称为"巨匠型开发框架". 问题描述: 1.渲染模版方式的不同 在Laravel框架里,使用return view()来渲染模版:而ThinkPHP里则使用了$this->display()的方式渲染模版. 2.在实际开发中我们常常遇到这样的问

  • laravel日志优化实例讲解

    日志浏览 扩展地址:arcanedev/log-viewer 安装扩展 composer require arcanedev/log-viewer 注册服务,在config/app.php中的providers添加以下内容 'providers' => [ ... Arcanedev\LogViewer\LogViewerServiceProvider::class, ], 如果有需要修改路由或者配置的.需要发布相关文件进行修改 php artisan log-viewer:publish 访问

  • 在swoole中制作一款仿制laravel的框架的实例代码

    首先需要确定一下思路:我希望基于swoole的扩展开发的代码在run起来的时候,在接收到ws或是tcp等消息时,自动路由到某个类上,同时类可以实现加载类的依赖注入功能.目前市面上占据主流的一款框架Laravel,其中有一个依赖注入的功能非常的便捷.一般在通常的框架中拉取Class是这样做的: class a { public $bClassInstance; public function __construct(Class b) { $classInstance = new b(); } pu

  • 清除laravel缓存命令代码实例

    清除Laravel(终端)中的缓存 登录运行laravel应用程序的系统并打开终端.然后导航到Laravel应用程序代码.在这里,就可以使用以下命令来清除缓存: 1.清除应用程序缓存 运行以下命令以清除Laravel应用程序的应用程序缓存 $ php artisan cache:clear 2.清除路由缓存 要清除Laravel应用程序的路由缓存,请从shell执行以下命令. $ php artisan route:cache 3.清除配置缓存 您可以使用config:cache清除Larave

  • laravel下trait的使用代码实例详解

    前言 今天在整理laravel的练习项目时,发现自己的代码结构中有很多重复的代码.于是搜索了一下laravel框架的代码复用机制.知道了Trait的存在,于是学习使用了一下. 关于Trait的理解 Trait是PHP5.4引入的新概念,定义方式和class的定义方式类似.但是并不具备class的完整性.Trait看上去更像是一个class的一部分.它使不相关的两个class能够具有类似的行为. Trait的简单使用 新建一个Trait 本人由于数据库操作上使用了eloquent模型,在多表查询时

  • laravel csrf验证总结

    laravel csrf验证总结 前言问题: laravel 在web路由下无论是表单提交啊 还是ajax请求啊 只要是请求方式不满足 ['HEAD', 'GET', 'OPTIONS'] 就会报419错误,原因是其自带开启csrf验证,防止csrf攻击 感兴趣的可以看看这部分源码:Illuminate\Foundation\Http\Middleware\VerifyCsrfToken 解决方式: 一.屏蔽csrf验证 部分屏蔽 App\Http\Middleware\VerifyCsrfTo

  • Laravel 解决419错误 -ajax请求错误的问题(CSRF验证)

    程序内容相关:Laravel+ajax+CSRF 好吧还有好多能扯出来好像有点多而且微不足道得像面前鼠标垫上的纤维不重要所以就不扯了啊我废话好多 贴上自己的解决办法,两行内容 1.在页面上添加 <meta name="csrf-token" content="{{ csrf_token() }}"> 2.然后在页面的script标签{{– 这句是废话,但是,啊我的博客好短不想删 – }}中添加 $.ajaxSetup({headers: {'X-CSRF

  • laravel csrf排除路由,禁止,关闭指定路由的例子

    百度了下,发现别的教程里需要更改文件,实际上很简单,官方提供了接口可以用来设置; laravel的csrf防范是通过app/http/Middleware目录下的中间件VerifyCsrfToken.php来生效的,如下所示在官方的代码 有个属性$except,可以专门用来设置哪些路由不用做csrf验证: <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken a

  • 解决django前后端分离csrf验证的问题

    第一种方式ensure_csrf_cookie 这种方方式使用ensure_csrf_cookie 装饰器实现,且前端页面由浏览器发送视图请求,在视图中使用render渲染模板,响应给前端,此时这个渲染模板的视图函数上要加上这个装饰器 这种方式保证了模板返回时,前端接收到的响应中有csrftoken这个cookie,方法见代码. 以上方法并没有严格意义的前后分离,如果模板中有form表单,可以直接在模板中添加{% csrf_token %}. 第二种方式 前后完全分离,前端页面直接通过获取静态文

  • Django中ajax发送post请求 报403错误CSRF验证失败解决方案

    前言 今天学习Django框架,用ajax向后台发送post请求,直接报了403错误,说CSRF验证失败:先前用模板的话都是在里面加一个 {% csrf_token %} 就直接搞定了CSRF的问题了:很显然,用ajax发送post请求这样就白搭了: 文末已经更新更简单的方法,上面的略显麻烦 上网上查了一下,看了几个别人的博客,才知道官网也早有说明解决办法,大致流程就是: 就是新建一个JavaScript文件,然后把网上给的代码粘贴进去,然后在你使用ajax的页面把它引入一下:当然,如果你在网上

  • 关于django 1.10 CSRF验证失败的解决方法

    最近工作闲,没事自学django,感觉这个最烦的就是各版本提供的api函数经常有变化,不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此记录一下,我用的是django 1.10.3: 如果你不想使用这个功能,直接找到settings.py中的'django.middleware.csrf.CsrfViewMiddleware',这一行

  • 关于Laravel参数验证的一些疑与惑

    验证器怎么创建的,谁创建的 Laravel 文档调用验证器,除了通过控制器,还有就是通过Facades的方式创建验证器对象.Validator::make($data,$rule,$message). config/app.php 中注册了'Validator' => Illuminate\Support\Facades\Validator::class. <?php namespace Illuminate\Support\Facades; /** * @see \Illuminate\Va

  • Django csrf 验证问题的实现

    关于 csrf 的基本了解 百度百科:CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用.通过伪装来自受信任用户的请求来利用受信任的网站. 简单来说就是攻击者盗用你的身份,以你的名义来发送恶意请求.比如说用户通过账号密码访问了网站A,A网站将一些cookie信息保存在浏览器中实现用户状态行为跟踪.这时用户又打开了B网站,B网站返回了一些恶意代码,并请求访问A.这样浏览器就会携带cookie以用户的权限访问A网站并执

  • Laravel修改验证提示信息为中文的示例

    1.覆盖提示信息: 打开resource/lang/en/validation.php注释掉英文提示信息 将下面的提示信息覆盖英文提示信息 <?php return [ /* |-------------------------------------------------------------------------- | Validation Language Lines |---------------------------------------------------------

  • laravel 数据验证规则详解

    如下所示: return [ 'accepted' => '必须为yes,on,1,true', 'active_url' => '是否是一个合法的url,基于PHP的checkdnsrr函数,因此也可以用来验证邮箱地址是否存在', 'after:date' => '验证字段必须是给定日期后的值,比如required|date|after:tomorrow,通过PHP函数strtotime来验证', 'after_or_equal:date' => '大于等于', 'alpha'

随机推荐