laravel中关闭CSRF的方法

本文介绍了解决CSRF防攻击导致的错误的方法,包括如何在Laravel框架中完全禁用或部分配置CSRF保护,以及如何修改CSRF cookie名称。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在框架中一般情况下报这种错误的都是csrf防攻击未关闭


那么我们可以关闭这种csrf有以下两种方法:

第一种

打开文件路径:app\Http\Kernel.PHP

找到这行代码并注释掉:

'App\Http\Middleware\VerifyCsrfToken'


 

第二种

打开文件路径:app\Http\Middleware\VerifyCsrfToken.php

修改为:可开启和关闭

代码如下:

<?php

namespace App\Http\Middleware;
use Closure;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    public function handle($request, Closure $next)
    {
        // 使用CSRF
        // return parent::handle($request, $next);
        // 禁用CSRF
        return $next($request);
    }
    // protected $except = [
    //     //
    // ];
}


 

CSRF的使用也有两种方法:

方法一:

在页面HTML的代码中加入:


<input type="hidden" name="_token" value="{{ csrf_token() }}" />


方法二:

使用cookie方式的CSRF,可以不用在每个页面都加入input标签。

把app\Http\Middleware\VerifyCsrfToken.php修改为:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        return parent::addCookieToResponse($request, $next($request));
    }

}

 我们在这个路径下也可以对指定的表单提交方式使用CSRF

代码如下:

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        // Add this:
        if($request->method() == 'POST')
        {
            return $next($request);
        }
        
        if ($request->method() == 'GET' || $this->tokensMatch($request))
        {
            return $next($request);
        }
        throw new TokenMismatchException;
    }

}

我们在方法二中只能对GET的方式提交使用CSRF,

对POST方式提交表单是需要禁用CSRF的;


 

 

修改CSRF的cookie名称方法

通常使用CSRF时,会往浏览器写一个cookie,如:

要修改这个名称值,可以到打开这个文件:vendor\laravel\framework\src\Illuminate\Foundation\Http\Middleware\VerifyCsrfToken.php

找到”XSRF-TOKEN“,修改它即可。

当然,你也可以在app\Http\Middleware\VerifyCsrfToken.php文件中,

重写addCookieToResponse(...)方法做到。


进入手册中查看的session和csrf解释:https://laravel-china.org/docs/5.1/routing#route-groups

### 如何在 Laravel 中禁用 CSRF 验证 在 Laravel 框架中,可以通过修改 `App\Http\Middleware\VerifyCsrfToken` 文件来实现全局禁用或针对特定 URI 跳过 CSRF 验证。 #### 方法一:完全禁用 CSRF 验证 如果需要彻底禁用 CSRF 验证功能,则可以在中间件文件中重写父类方法并直接返回 `$next($request)` 的响应。以下是具体代码示例: ```php <?php namespace App\Http\Middleware; use Closure; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * Handle an incoming request. * * @param \Illuminate\Http\Request $request * @param \Closure $next * @return mixed */ public function handle($request, Closure $next) { // 完全禁用 CSRF 验证 return $next($request); } } ``` 这种方法会使得整个应用不再执行任何 CSRF 验证逻辑[^1]。 #### 方法二:排除指定路由的 CSRF 验证 对于某些特殊场景下的 API 接口或者第三方服务调用,可能只需要让部分 URL 不受 CSRF 保护约束而其他地方仍然保持安全机制有效。此时可以利用 `$except` 属性定义例外列表如下所示: ```php <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * The URIs that should be excluded from CSRF verification. * * @var array */ protected $except = [ 'api/v1/screen', 'api/v1/notice', ]; } ``` 上述配置表示 `/api/v1/screen` 和 `/api/v1/notice` 这两个路径不会触发 CSRF 校验过程[^2]。 需要注意的是,在生产环境中不建议无差别地移除所有页面上的跨站点请求伪造防护措施;相反应当谨慎评估哪些操作确实不需要此层额外保障再做相应调整。 另外关于 Blade 模板引擎方面提到的内容主要是用于表单提交时展示字段关联错误提示信息,并未涉及关闭csrf令牌验证相关内容[^4]。 最后提及到有关 Factory 工厂模式的部分也与当前讨论主题无关[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值