Laravel通过内置CSRF中间件和令牌机制防止CSRF攻击,确保修改状态的请求来自合法用户。核心是App\Http\Middleware\VerifyCsrfToken中间件,默认应用于web路由组,自动验证POST、PUT、PATCH和DELETE请求。开发者在Blade模板中使用@csrf指令为表单添加隐藏令牌字段,使服务器能校验请求合法性。对于AJAX请求,需在页面中设置meta标签存储令牌,并通过JavaScript将其注入请求头,如使用Axios时配置默认头部X-CSRF-TOKEN。特定场景下可排除某些路由的CSRF检查,在VerifyCsrfToken类的$except数组中定义路径,如API接口或Webhook接收端点,但应配合其他安全措施如API密钥或签名验证,以保障安全性。
防止CSRF攻击,Laravel主要依赖内置的令牌验证机制。核心是确保每个可能修改状态的请求都携带一个由服务器生成且难以预测的一次性令牌,从而确认请求来自合法用户而非恶意第三方网站。
启用并使用CSRF中间件
Laravel默认已为所有web路由启用了CSRF保护。关键在于App\Http\Middleware\VerifyCsrfToken中间件,它被包含在web中间件组中。该中间件会自动检查POST、PUT、PATCH和DELETE请求的有效性。开发者通常不需要更改app/Http/Kernel.php中的配置,因为默认设置已经正确应用了此中间件。
在表单中添加CSRF令牌
对于提交到服务器的HTML表单,必须包含CSRF令牌。最简单的方法是在Blade模板的
