Laravel 5 页面中所有表单的 CSRF 全局令牌隐藏字段

Laravel 5 CSRF global token hidden field for all forms in a page

我最近迁移到 Laravel 5,现在每次 post 提交都会进行 CSRF 检查。我考虑过删除它,但我想遵循最佳做法,所以我会保留它。

另一方面,我在提交 ajax 请求时遇到问题。我的页面有多个表单,有些提交甚至不是来自表单,只是普通的 ajax 调用。我的想法是在页面上有一个隐藏的 "token" 输入并将其附加到每个提交。使用通用的单一令牌输入有什么缺点吗?

另外,请问如何输出token?只在页脚创建一个隐藏输入可以吗?

我没有看到任何缺点。您可以轻松地在布局文件中创建全局令牌字段:

<input type="hidden" name="_token" id="csrf-token" value="{{ Session::token() }}" />

或者,如果您使用表单生成器:

{!! Form::token() !!}

在 jQuery 中,您可以使用类似 的方式将令牌附加到每个请求。

您需要传递 header X-XSRF-TOKEN,其中包含 csrf-token.

的加密版本

我知道有两种方法可以做到这一点。您可以加密令牌并将其传递给视图:

$xsrfToken = app('Illuminate\Encryption\Encrypter')->encrypt(csrf_token());

return view('some.ajax.form.view')->with('xsrf_token', $xsrfToken);

或者您可以使用 JavaScript 从 cookie 中获取令牌(Angular 使这很容易)。在 vanilla JS 中你可能会做这样的事情:

function getCookie(name) {
    var pattern = RegExp(name + "=.[^;]*")
    matched = document.cookie.match(pattern)
    if (matched) {
        var cookie = matched[0].split('=')
        return decodeURIComponent(cookie[1])
    }
    return false
}

在 jQuery 中,您可以为 ajax 请求做这样的事情:

$.ajax({
    // your request
    //
    beforeSend: function(request) {
        return request.setRequestHeader('X-XSRF-TOKEN', getCookie('XSRF-TOKEN'));
    }
});

以下是我如何让我的 CSRF 在我最近升级为使用 Laravel 5:

的 jQuery 移动应用程序中的所有不同场景中工作的一些摘录

我在变量中添加了一个加密的 csrf 令牌,该变量将传递到我的主要基础控制器中的视图: app\Http\Controllers\MyController.php

$this->data['encrypted_csrf_token'] = Crypt::encrypt(csrf_token());

然后,我在主视图中添加了元标记 header: resources\views\partials\htmlHeader.blade.php

<meta name="_token" content="{!! $encrypted_csrf_token !!}"/>

然后,我还按照某些论坛的建议添加了这个 jquery 片段:

    $(function () {
            $.ajaxSetup({
                    headers: {
                            'X-XSRF-TOKEN': $('meta[name="_token"]').attr('content')
                    }
            });
    });

但是,关键(至少对于我的设置而言)是在我的自定义 VerifyCsrfToken 中间件中添加了对 XSRF-TOKEN cookie 的检查: app\Http\Middleware\VerifyCsrfToken.php:

    /**
     * Determine if the session and input CSRF tokens match.
     *
     * @param  \Illuminate\Http\Request  $request
     * @return bool
     */
    protected function tokensMatch($request)
    {       
            $token = $request->session()->token();

            $header = $request->header('X-XSRF-TOKEN');

            $cookie = $request->cookie('XSRF-TOKEN');

            return StringUtils::equals($token, $request->input('_token')) ||
                   ($header && StringUtils::equals($token, $this->encrypter->decrypt($header))) ||
                    ($cookie && StringUtils::equals($token, $cookie));
    }

在我补充之前,几乎所有的 AJAX POST(包括表单提交和延迟加载列表视图)都因 TokenMismatchException 而失败。

编辑: 转念一想,我不确定将 session 令牌与 cookie 中设置的令牌进行比较有多大意义(这首先来自 session 令牌,对吗?) .那可能只是绕过了这一切的安全性。

我认为我的主要问题是上面的 jquery 片段,它应该将 X-XSRF-TOKEN header 添加到每个 ajax 请求。在我为插件本身添加一些选项之前,这在我的 jQuery 移动应用程序(特别是在我的 lazyloader plugin 中)对我不起作用。我添加了一个新的默认选择器 csrf(在本例中为 meta[name="_token"])和一个新的默认设置 csrfHeaderKey(在本例中为 X-XSRF-TOKEN)。基本上,在插件初始化期间,如果 csrf 选择器(默认或 user-defined)可以找到一个新的 _headers 属性,则使用 CSRF 令牌对其进行初始化。然后,在可以触发 ajax POST 的 3 个不同位置(重置 session 变量或延迟加载列表视图时)的 headers 选项 $.ajax 设置为 _headers 中的任何内容。

无论如何,由于 server-side 上收到的 X-XSRF-TOKEN 来自加密的 meta _token,我认为 CSRF 保护现在正常工作。

我的 app\Http\Middleware\VerifyCsrfToken.php 现在看起来像这样(这基本上回到了 Laravel 5 提供的默认实现 - LOL):

    /**
     * Determine if the session and input CSRF tokens match.
     *
     * @param  \Illuminate\Http\Request  $request
     * @return bool
     */
    protected function tokensMatch($request)
    {
            $token = $request->session()->token();

            $_token = $request->input('_token');

            $header = $request->header('X-XSRF-TOKEN');

            return StringUtils::equals($token, $_token) ||
                   ($header && StringUtils::equals($token, $this->encrypter->decrypt($header)));
    }

我想你可以做这样的事情(没有测试,如果有机会会更新)

$(document).on('submit', 'form', function(e)
      $(this).append('<input name="_token" value="{{{ Session::token() }}}">);
});

您实际上可能希望将令牌存储在您在过期时重新更新的变量中。

在提交时附加它的好处是,如果您通过 ajax 附加元素,我认为它仍然可以工作而无需添加任何其他内容。

编辑: 这是一篇关于将 Rails UJS 与 Laravel 结合使用的好文章(其中包括此 auto CRSF 令牌 功能):https://medium.com/@barryvdh/unobtrusive-javascript-with-jquery-ujs-and-laravel-e05f444d3439

有一个 helper 可以在表单中添加表单标记。你可以只使用

{!! csrf_field() !!}

在表格内。它将添加隐藏的输入和令牌。

您可以在页面底部使用类似这样的内容:

$('form').append('{{csrf_field()}}');

这会将一个隐藏的输入附加到您所有的 forms:

<input type="hidden" name="_token" value="yIcHUzipr2Y2McGE3EUk5JwLOPjxrC3yEBetRtlV">

对于您所有的 AJAX 请求:

$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        //////////// Only for your domain
        if (settings.url.indexOf(document.domain) >= 0) {
            xhr.setRequestHeader("X-CSRF-Token", "{{csrf_token()}}");
        }
    }
});

所有答案不涉及JS文件。如果我们不使用 blade 而想使用 JS 文件怎么办。 blade 语法在那里不起作用。

下面是适用于表单和 ajax 的代码。

var csrf = document.querySelector('meta[name="csrf-token"]').content;
var csrf_field = '<input type="hidden" name="_token" value=“'+csrf+'”>';

$('form').append(csrf_field);

$.ajaxSetup({
    beforeSend: function (xhr, settings) {
        if (settings.url.indexOf(document.domain) >= 0) {
            xhr.setRequestHeader("X-CSRF-Token", csrf);
        }
    }
});