laravel中关闭CSRF(全部关闭、部分关闭)

最新推荐文章于 2025-06-27 01:01:49 发布
最新推荐文章于 2025-06-27 01:01:49 发布
阅读量8.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: laravel 文章标签: laravel laravel关闭csrf 指定路由关闭csrf 关闭csrf csrf设置csrf设置csrf设置 csrf设置 csrf设置 csrf设置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32737755/article/details/80923489
本文介绍如何在 Laravel 框架中管理和调整 CSRF 验证机制,包括完全禁用及仅针对 API 请求禁用的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误:
这里写图片描述

这是因5.2之后的版本中会默认在路由里面添加 web 中间件。
在app/Http/Kernel.php文件中有如下配置:
这里写图片描述

全部关闭

到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了

部分关闭

当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel中生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。

这就需要去修改app\Http\Middleware\VerifyCsrfToken.php这个文件了
文件中有个属性$except,可以设置哪些路由不用做csrf验证,如下我想要api开头的路由都不做csrf验证,只需要添加 ‘api/*’ 就行了。
这里写图片描述
这样我访问 http://***/laravel/public/api/index 就不会报错了。

Laravel 框架指定路由关闭 csrf
阿远:
05-26 2221
修改 app\Http\Middleware\VerifyCsrfToken.php 内容: <?php namespace App\Http\Middleware;use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;class VerifyCsrfToken extends B
Laravel框架学习(CSRF
野蛮秘籍
03-09 9192
CSRF攻击原理及其防护1、CSRF攻击是what? CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写。具体了解请自行百度。2、Laravel中如何避免CSRF攻击 Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。Laravel提供了一个全局帮助函数csr
laravel 实现关闭CSRF(全部关闭部分关闭)
01-03
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭csrf验证,但这就全部关闭了。 部分关闭 当我们写接口的时候,会遇到这样的问题:因为通过接口是无法传csrf_token的(csrf_token是在laravel中生成的),我们只想在api请求的时候关闭csrf验证,网站的后台不关闭。 这就需要去修改a
laravel关闭CSRF的方法
woshihaiyong168的博客
11-18 1293
在框架中一般情况下报这种错误的都是csrf防攻击未关闭 那么我们可以关闭这种csrf有以下两种方法: 第一种 打开文件路径:app\Http\Kernel.PHP 找到这行代码并注释掉: 'App\Http\Middleware\VerifyCsrfToken'   第二种 打开文件路径:app\Http\Middleware\VerifyCsrf
04 - spring security关闭csrf攻击防御
最新发布
shuai的博客
06-27 360
摘要:本文介绍了如何在Spring Security中关闭CSRF攻击防御机制。通过调整WebSecurityConfig配置类,使用http.csrf().disable()方法可以关闭CSRF防护。关闭后,登录请求/longin将不再需要_csrf参数,登出请求/logout会从POST方式变为GET方式,直接执行退出操作而不再跳转自定义登出页面。文章还提供了相关配置代码示例和注意事项,是Spring Security实践中的实用技巧。
laravel关闭csrf验证
L_s_c_h的博客
01-16 928
Laravel默认是开启了CSRF功能,有时可能不能传递验证token,就需要关闭。本教程操作环境:windows11系统、Laravel5.1版,打开文件:app\\Http\\Kernel.php。laravel怎么关闭csrf验证?
laravel5.8(七)关闭csrf验证
camellia的博客
11-06 430
Csrf验证这个我之前在使用Yii2框架中见到过。 这个破玩意,请求必须得带上验证的字符串,半小时页面没有活动,必须重新刷新页面才能重新发起ajax请求。有点麻烦。 当然,框架中使用这个自然是有他的好处。 防止csrf攻击嘛。 我在测试过程中,目前先关闭csrf验证。 打开当前项目目录下的app/Http/Kernel.php 搜索csrf 如果没有问题的话,在这里只能搜索到一个结果。大概在38行左右。 将当前这行代码注释掉就可以了。 如下所示: 这样,访问便不需要添加csrf验证也可以了。 当前后端分离
laravelcsrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
laravel csrf排除路由,禁止,关闭指定路由的例子
10-16
Laravel框架中,CSRF(Cross-Site Request Forgery)防护是一种安全机制,用于防止用户在不知情的情况下执行某些操作。Laravel通过中间件VerifyCsrfToken.php来实现CSRF验证。默认情况下,此中间件会对所有的POST...
Laravel关闭CSRF验证
草根上的须子
06-02 367
Laravel5.2之后加入了CSRF验证 在app/Http/Kernel.php文件中有如下配置: 在这里插入图片描述 全局关闭 // \App\Http\Middleware\VerifyCsrfToken::class 1 局部关闭 打开VerifyCsrfToken类文件,找到以下: 在这里插入图片描述 假设你的路由是/login, 只需在此写入路由地址,即可跳过CSRF验证 如下我想要api开头的路由都不做csrf验证,只需要添加 ‘api/*’ 就行了。 ————————...
Laravel 5禁用csrf_token
红壶吃猬队的博客
03-12 660
在app\Http\Kernel.php中,将“App\Http\Middleware\VerifyCsrfToken”一行注释掉; 在App\Http\Middleware\VerifyCsrfToken.php中,将“return parent::handle($request, $next);”一行改为“return $next($request);”; (5.1及以上版本用)在App\H...
security禁用csrf
以爱护甲,爱满枫林。
09-23 7145
项目中启用了 security,post请求无法通过,页面报错如下: 搜了下CSRF CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding, 通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 为了防止跨站提交攻击,通常会配置csrf。 原因找到了:Spring Security 3默...
Laravel - CSRF token禁用方法
鑫的专栏
11-23 6779
关闭Laravel默认是开启了CSRF功能,需要关闭此功能有两种方法:方法一打开文件:app\Http\Kernel.php把这行注释掉: protected $middleware = [ \Illuminate\Foundation\Http\Middleware\CheckForMaintenanceMode::class, \App\Http\Middleware\EncryptCookie
1-17.Laravel框架之CSRF代码讲解
郝云博客
10-31 752
一、CSRF攻击 1、什么是CSRF攻击 CSRF是跨站请求伪造(Cross-site request forgery)的英文缩写, 原理图示: csrflaravel框架中的使用,就是在客户端form表单中设置一个_token表单域 同时把该表单域的值记录给session,提交表单给服务器后,服务器判断form表单中的_token与session中的_token是否一致,一致就进...
SpringSecurity关闭csrf防护
liubopro666的博客
10-23 1366
CSRF防护:CSRF:跨站请求伪造,通过伪造用户请求访问受信任的站点从而进行非法请求访问,是一种攻击手段。Spring Security为了防止CSRF攻击,默认开启了CSRF防护,这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。
Laravel5.1忽略Csrf验证的方法
weixin_34177064的博客
05-21 217
在/App/Http/middleware/VerifyCsrfToken.php 文件的protected $except里面加入路由地址 转载于:https://www.cnblogs.com/lamp01/p/6884924.html
laravel】@7 CSRF保护
咔咔博客
05-15 574
author:咔咔 wechat:fangkangfk 在之前做路由的时候把这个关闭了,现在需要打开 在控制器配置俩个方法,一个显示模板,一个表单提交 创建模板文件 发现提交之后,现实的是419 这个时候在到模板里边加上@csrf 加上@csrf后可以正常的发起post请求 我们可以看看源码,VerifyCsrfToken这...
Laravel关闭CSRF的验证
03-15
### 如何在 Laravel 中禁用 CSRF 验证 在 Laravel 框架中,可以通过修改 `App\Http\Middleware\VerifyCsrfToken` 文件来实现全局禁用或针对特定 URI 跳过 CSRF 验证。 #### 方法一:完全禁用 CSRF 验证 如果需要彻底禁用 CSRF 验证功能,则可以在中间件文件中重写父类方法并直接返回 `$next($request)` 的响应。以下是具体代码示例: ```php <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 完全禁用 CSRF 验证 return $next($request); } } ``` 这种方法会使得整个应用不再执行任何 CSRF 验证逻辑[^1]。 #### 方法二:排除指定路由CSRF 验证 对于某些特殊场景下的 API 接口或者第三方服务调用,可能只需要让部分 URL 不受 CSRF 保护约束而其他地方仍然保持安全机制有效。此时可以利用 `$except` 属性定义例外列表如下所示: ```php <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'api/v1/screen', 'api/v1/notice', ]; } ``` 上述配置表示 `/api/v1/screen` 和 `/api/v1/notice` 这两个路径不会触发 CSRF 校验过程[^2]。 需要注意的是,在生产环境中不建议无差别地移除所有页面上的跨站点请求伪造防护措施;相反应当谨慎评估哪些操作确实不需要此层额外保障再做相应调整。 另外关于 Blade 模板引擎方面提到的内容主要是用于表单提交时展示字段关联错误提示信息,并未涉及关闭csrf令牌验证相关内容[^4]。 最后提及到有关 Factory 工厂模式的部分也与当前讨论主题无关[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值