Laravel通过自动生成和校验CSRF令牌防止跨站请求伪造,使用@csrf指令插入令牌,由VerifyCsrfToken中间件校验POST等请求,AJAX需通过meta标签传递令牌,可排除API路由校验,保障表单与会话安全。
Laravel 通过内置的 CSRF(跨站请求伪造)保护机制,有效防止恶意用户利用已认证用户的身份执行非本意的操作。这一安全机制主要依赖于 CSRF 令牌(CSRF Token)的生成与校验,广泛应用于表单提交等敏感操作中。
CSRF 令牌的自动生成与注入
Laravel 在每个会话中为用户生成唯一的 CSRF 令牌,确保每个请求来源的合法性。开发者无需手动创建该令牌,框架会在用户会话初始化时自动处理。
在表单中使用 @csrf Blade 指令,即可自动插入一个包含 CSRF 令牌的隐藏输入字段:
上述代码会被编译为:
中间件自动校验 CSRF 令牌
Laravel 使用 VerifyCsrfToken 中间件对 POST、PUT、PATCH 和 DELETE 请求进行令牌校验。该中间件默认注册在 app/Http/Kernel.php 的 web 中间件组中,因此所有通过 web 路由的请求都会受到保护。
当请求到达服务器时,中间件会检查请求中的 _token 参数是否与当前会话中的 CSRF 令牌一致。若不匹配,系统将抛出 419 响应(Page Expired),阻止请求继续执行。
以下情况可能触发校验失败:
- 表单缺少 @csrf 指令
- 页面长时间未提交导致会话过期
- AJAX 请求未携带令牌
排除特定路由的 CSRF 校验
对于 API 接口或第三方回调等场景,通常不适用基于会话的 CSRF 保护。可在 App\Http\Middleware\VerifyCsrfToken 类的 $except 属性中添加不需要校验的路径:
protected $except = [
'api/*',
'webhook/stripe',
];这些路径下的请求将跳过令牌检查,适合无状态的 API 认证方式(如 Bearer Token)。
AJAX 请求中的 CSRF 处理
在使用 Axios 或 jQuery 发送 AJAX 请求时,需确保每次请求都携带 CSRF 令牌。Laravel 推荐将令牌存储在 HTML meta 标签中:
然后在 JavaScript 中读取并设置到请求头:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});这样所有后续的 AJAX 请求都会自动包含 CSRF 令牌,避免被中间件拦截。
基本上就这些。Laravel 的 CSRF 保护机制开箱即用,配合简单的模板指令和中间件配置,就能为应用提供可靠的表单安全防护。只要注意在表单和异步请求中正确传递令牌,大多数攻击风险都能有效规避。
