CSRF 화이트리스트

때때로 원치 않는 CSRF 보호 URL 세트를 설정하고 싶을 수도 있습니다. 예를 들어, Stripe을 사용하여 결제를 처리하고 웹훅 시스템을 사용하는 경우 Stripe는 CSRF 토큰을 경로로 보내지 않기 때문에 Stripe 웹훅 처리기 경로를 CSRF 보호에서 제외해야 합니다.

일반적으로 RouteServiceProvider의 web 미들웨어가 이 파일에 모두 적용되기 때문에 일반적으로 이러한 유형의 경로를 routes/web.php 외부에 배치할 수 있습니다. 의 경로. 그러나 아래와 같이 VerifyCsrfToken 미들웨어의 $just 속성에 해당 URL을 추가하여 해당 경로에 대한 CSRF 보호를 제외할 수도 있습니다. routes/web.php 外，因为 RouteServiceProvider 的 web 中间件适用于该文件中的所有路由。不过，你也可以通过将这类 URL 添加到 VerifyCsrfToken 中间件的 $except 属性来排除对这类路由的 CSRF 保护，如下所示：

<?php
   namespace App\Http\Middleware;
   use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;
   class VerifyCsrfToken extends Middleware{   
     /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */  
     protected $except = [    
         'stripe/*',        
         'http://example.com/foo/bar',        
         'http://example.com/foo/*',    
         ];
       }

{tip} 当 运行测试 时， CSRF 中间件会自动禁用。

X-CSRF-TOKEN

除了检查 POST 参数中的 CSRF 令牌外， VerifyCsrfToken 中间件还会检查 X-CSRF-TOKEN 请求头。你应该将令牌保存在 HTML meta 标签中，如下：

<meta name="csrf-token" content="{{ csrf_token() }}">

然后，一旦你创建了 meta 标签，就可以指示像 jQuery 这样的库自动将令牌添加到所有请求的头信息中。还可以为基于 AJAX 的应用提供简单，方便的 CSRF 保护。如下：

$.ajaxSetup({
    headers: {   
         'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')  
         }
     });

{tip} 默认情况下，  resources/js/bootstrap.js 文件会用 Axios HTTP  函数库注册 csrf-token meta 标签中的值。如果不使用这个函数库，则需要为你的应用手动配置此行为。

X-XSRF-TOKEN

Laravel 将当前的 CSRF 令牌存储在一个 XSRF-TOKEN cookie
中，该 cookie 包含在框架生成的每个响应中。你可以使用 cookie 值来设置 X-XSRF-TOKEN 请求头。

这个 cookie 主要是作为一种方便的方式发送的，因为一些  JavaScript 框架和库，例如 Angular 和 Axios ，会自动将它的值放入 X-XSRF-TOKENrrreee< blockquote>

🎜{tip} 기본적으로 resources/js/bootstrap.js 파일은 Axios HTTP 함수 라이브러리를 사용하여 csrf-token 메타태그 값. 이 라이브러리를 사용하지 않는 경우 애플리케이션에 대해 이 동작을 수동으로 구성해야 합니다. 🎜