# CSRF 保護 - [簡介](#csrf-introduction) - [CSRF 白名單](#csrf-excluding-uris) - [X-CSRF-Token](#csrf-x-csrf-token) - [X-XSRF-Token](#csrf-x-xsrf-token) <a name="csrf-introduction"></a> ## 簡介 Laravel 可以輕松地保護應用程序免受 [跨站請求偽造](https://en.wikipedia.org/wiki/Cross-site_request_forgery) (CSRF) 的攻擊。跨站請求偽造是一種惡意的攻擊，它憑借已通過身份驗證的用戶身份來運行未經過授權的命令。 Laravel 會自動為每個活躍用戶的會話生成一個 CSRF「令牌」。該令牌用于驗證經過身份驗證的用戶是否是向應用程序發出請求的用戶。 任何情況下當你在應用程序中定義 HTML 表單時，都應該在表單中包含一個隱藏的 CSRF 令牌字段，以便 CSRF 保護中間件可以驗證該請求。可以使用輔助函數 `csrf_field` 來生成令牌字段： <form method="POST" action="/profile"> {{ csrf_field() }} ... </form> 包含在 `web` 中間件組里的 `VerifyCsrfToken` [中間件](/docs/{{version}}/middleware)會自動驗證請求里的令牌是否與存儲在會話中令牌匹配。 #### CSRF 令牌 & JavaScript 構建由 Javascript 驅動的應用時，可以很方便地讓 Javascript HTTP 函數庫在發起每一個請求時自動附上 CSRF 令牌。默認情況下， `resources/assets/js/bootstrap.js` 文件會用 Axios HTTP 函數庫注冊的 `csrf-token` meta 標簽中的值。如果你不使用這個函數庫，你需要手動為你的應用配置此行為。 <a name="csrf-excluding-uris"></a> ## CSRF 白名單 有時候你可能希望設置一組并不需要 CSRF 保護的 URI。例如，如果你正在使用 [Stripe](https://stripe.com) 處理付款并使用了他們的 webhook 系統，你會需要從 CSRF 的保護中排除 Stripe Webhook 處理程序路由，因為 Stripe 并不會給你的路由發送 CSRF 令牌。 你可以把這類路由放到 `routes/web.php` 外，因為 `RouteServiceProvider` 的 `web` 中間件適用于該文件中的所有路由。不過，你也可以通過將這類 URI 添加到 `VerifyCsrfToken` 中間件中的 `$except` 屬性來排除對這類路由的 CSRF 保護： <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class VerifyCsrfToken extends BaseVerifier { /** * 這些 URI 將免受 CSRF 驗證 * * @var array */ protected $except = [ 'stripe/*', ]; } <a name="csrf-x-csrf-token"></a> ## X-CSRF-TOKEN 除了檢查 POST 參數中的 CSRF 令牌外，`VerifyCsrfToken` 中間件還會檢查 `X-CSRF-TOKEN` 請求頭。你可以將令牌保存在 HTML `meta` 標簽中： <meta name="csrf-token" content="{{ csrf_token() }}"> 然后你就可以使用類似 jQuery 的庫自動將令牌添加到所有請求的頭信息中。這可以為基于 AJAX 的應用提供簡單、方便的 CSRF 保護： $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } }); > {tip} 默認情況下， `resources/assets/js/bootstrap.js` 文件會用 Axios HTTP 函數庫注冊 `csrf-token` meta 標簽中的值。如果你不使用這個函數庫，則需要為你的應用手動配置此行為。 <a name="csrf-x-xsrf-token"></a> ## X-XSRF-TOKEN Laravel 將當前的 CSRF 令牌存儲在由框架生成的每個響應中包含的一個 `XSRF-TOKEN` cookie 中。為方便起見，你可以使用 cookie 值來設置 X-XSRF-TOKEN 請求頭，而一些 JavaScript 框架和庫（如 Angular 和 Axios）會自動將這個值添加到 `X-XSRF-TOKEN` 頭中。 ## 譯者署名 | 用戶名 | 頭像 | 職能 | 簽名 | |---|---|---|---| | [@王凱波](http://weibo.com/wangkaibo) | <img class="avatar-66 rm-style" src="https://dn-phphub.qbox.me/uploads/avatars/1924_1487053084.jpeg?imageView2/1/w/100/h/100"> | 翻譯 | 面向工資編程 [@wangkaibo](https://github.com/wangkaibo/) | | [@Lichmaker](https://laravel-china.org/users/16370) | <img class="avatar-66 rm-style" src="https://dn-phphub.qbox.me/uploads/avatars/16370_1499995124.jpg?imageView2/1/w/100/h/100"> ?| 翻譯 | Happy Coding! :) 我的微博：[神經考拉君](http://weibo.com/1779555595/) | | [@JokerLinly](https://laravel-china.org/users/5350) | <img class="avatar-66 rm-style" src="https://dn-phphub.qbox.me/uploads/avatars/5350_1481857380.jpg"> | Review | Stay Hungry. Stay Foolish. | --- > {note} 歡迎任何形式的轉載，但請務必注明出處，尊重他人勞動共創開源社區。 > > 轉載請注明：本文檔由 Laravel China 社區 [laravel-china.org](https://laravel-china.org) 組織翻譯，詳見 [翻譯召集帖](https://laravel-china.org/topics/5756/laravel-55-document-translation-call-come-and-join-the-translation)。 > > 文檔永久地址： https://d.laravel-china.org