阅读(4627) (9)

Laravel 8 简介

2021-06-24 09:51:17 更新

Laravel 可以轻松使地保护你的应用程序免受 跨站请求伪造(CSRF)攻击。 跨站点请求伪造是一种恶意攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。

Laravel 会自动为每个活跃的用户的会话生成一个 CSRF「令牌」。该令牌用于验证经过身份验证的用户是否是向应用程序发出请求的用户。

无论何时,当您在应用程序中定义 HTML 表单时,都应该在表单中包含一个隐藏的 CSRF 标记字段,以便 CSRF 保护中间件可以验证该请求,你可以使用 @csrf Blade 指令来生成令牌字段,如下:

<form method="POST" action="/profile">
    @csrf
    ...
</form>

包含在 web 中间件组里 VerifyCsrfToken 中间件会自动验证请求里的令牌是否与存储在会话中令牌匹配。