Laravel -如何让CSRF令牌与HTML缓存一起工作?
Laravel是一种流行的PHP框架,用于快速构建高质量的Web应用程序。在Laravel中,CSRF(跨站请求伪造)令牌用于保护应用程序免受恶意请求的攻击。然而,当启用HTML缓存时,CSRF令牌可能会导致缓存无效,因为每个用户会共享相同的令牌。
为了让CSRF令牌与HTML缓存一起工作,可以采取以下步骤:
- 禁用CSRF令牌:在需要使用HTML缓存的页面上,可以通过在路由或控制器中使用
withoutMiddleware方法来禁用CSRF令牌中间件。例如:
Route::middleware('web')->withoutMiddleware(\App\Http\Middleware\VerifyCsrfToken::class)->group(function () {
// 路由定义
});这样,CSRF令牌将不会应用于这些路由,从而避免了与HTML缓存的冲突。
- 使用局部刷新:如果某个页面中的一部分需要使用CSRF令牌,而其他部分可以进行HTML缓存,可以将需要使用CSRF令牌的部分使用AJAX进行局部刷新。这样,只有局部刷新的部分会包含CSRF令牌,而其他部分可以进行HTML缓存。
- 动态生成CSRF令牌:如果需要在HTML缓存中使用CSRF令牌,可以通过在模板中动态生成令牌来解决。在Laravel中,可以使用
csrf_field函数来生成CSRF令牌。例如:
<form method="POST" action="/example">
{{ csrf_field() }}
<!-- 表单内容 -->
</form>这样,每次生成的HTML页面都会包含一个唯一的CSRF令牌,从而避免了缓存冲突。
总结起来,要让CSRF令牌与HTML缓存一起工作,可以禁用CSRF令牌中间件、使用局部刷新或动态生成CSRF令牌。具体的选择取决于应用程序的需求和场景。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云云服务器(CVM):提供可扩展的云服务器实例,用于运行应用程序和托管网站。
- 腾讯云CDN:提供全球加速服务,加速内容分发,提高网站性能。
- 腾讯云对象存储(COS):提供高可靠、低成本的对象存储服务,用于存储和管理大规模的非结构化数据。
- 腾讯云数据库MySQL版:提供稳定可靠的云数据库服务,支持MySQL数据库引擎。
- 腾讯云人工智能:提供丰富的人工智能服务,包括图像识别、语音识别、自然语言处理等。
- 腾讯云物联网(IoT):提供全面的物联网解决方案,帮助连接和管理物联网设备。
- 腾讯云区块链:提供可信赖的区块链服务,用于构建和管理区块链网络。
- 腾讯云视频处理:提供视频处理和分发服务,包括转码、截图、水印等功能。
- 腾讯云移动开发:提供移动应用开发和部署的云服务,包括移动后端云、移动测试云等。
请注意,以上链接仅供参考,具体的产品选择应根据实际需求进行评估和决策。
相关·内容
据我所知,HTML缓存将生成一个静态的html文件,但CSRF需要在每次加载页面时刷新,所以有没有办法让CSRF令牌与HTML缓存一起工作?
浏览 15提问于2018-09-04得票数 2
回答已采纳
1回答
我用清漆来缓存Laravel页面。
为了为每个人显示不同的CSRF令牌,我使用ESI从缓存中排除CSRF:
app.blade.php
<html lang="fr">
<head>
<title>@yield('title')</title>
<meta name="description" content="@yield('description')">
<meta charset=
浏览 5提问于2021-04-02得票数 0
回答已采纳
我到处找,但找不到任何关于这方面的东西。我是唯一一个经历过CodeIgniter中的CSRF保护不能与页面缓存一起工作的人吗?
我有什么:
将通过以下行缓存的网页:
$this->output->cache( 120 );
在该页面的Javascript中,我有一个Ajax调用,其中的数据也包含CSRF令牌。当缓存被禁用或当我禁用CSRF保护时,一切工作正常。
有没有人知道解决方法或其他方法,这样我就可以启用缓存和CSRF保护?
谢谢!
浏览 0提问于2013-02-28得票数 2
回答已采纳
1回答
我正在尝试制作一个webapp,它将运行在一个HTML页面上,允许用户通过JavaScript和ajax与服务器进行交互。我希望通过在每个请求中包含一个csrf令牌,使我的请求能够安全地抵御csrf攻击。
因为我的webapp只在一个页面上运行,所以我不能在视图中使用${_csrf.token} (或类似的东西)语法,因为视图将是一个json对象。相反,我希望有一个url,如"/security/csrf“,它返回与用户会话相关的令牌。(是的,这不完全是一种restful服务。)
有什么方法可以让我生成一个csrf令牌,让Security在验证登录时能够访问吗?另外,以这种方式使用cs
浏览 2提问于2015-04-18得票数 5
回答已采纳
2回答
我用的是Vue SPA和Laravel。我已经在谷歌上搜索了几个小时,尝试了很多东西,但我找不到办法让它工作。
在index.html我有
<meta name="csrf-token" content="{{ csrf_token() }}">
这是我的订阅方法:
subscribe() {
let pusher = new Pusher('key', {
cluster: 'ap1',
encrypted: true,
authEndpoint: 'https://api_ur
浏览 1提问于2019-01-05得票数 2
回答已采纳
我有一个很大的表单(20个字段),它需要花费很长时间才能在Django + bootstrap-toolkit中进行呈现,如下图所示:
还请参见
我试过的..。
缓存视图。csrf令牌总是使它成为一个新的视图,因此它从不实际缓存。
将表单拆分到它自己的块内容中,然后缓存该块,同时将csrf标记保留在字段的外部。Django很难呈现这个结果,而POST按钮也无法工作。
我没有想法,需要一些外部视角来看待如何解决这个问题。
浏览 4提问于2013-08-16得票数 1
回答已采纳
2回答
用laravel上传文件的进度条
、、、、
我的代码是用来输入的
<input id="imgages" name="imgages" type="file" onchange="uploadFile()" />
我的剧本是:
function _(el) {
return document.getElementById(el);
}
function uploadFile() {
var file = _("imgages").files[0];
var formdata = new FormData();
fo
浏览 13提问于2020-07-23得票数 0
回答已采纳
我有一个表单来上传图片。我以前使用过DropZone.js,它工作得很好,并将CSRF令牌与ajax调用一起发送。所有服务器端都很好,但是在不使用DropZone的情况下,我会得到标记不匹配错误。
这是我的AJAX调用:
$(document).on('submit', ".hidden-image-upload", function(e){
e.preventDefault();
$.ajax({
url:'/project/uploadImage',
data:{
浏览 1提问于2015-11-15得票数 2
回答已采纳
1回答
我制作了Sencha前端应用程序,它的后端是用PHP/Joomla完成的。Sencha JS应用程序发送的数据使用PHP和Joomla框架进行验证和保存。
如何在Sencha JS应用程序中创建CSRF令牌并在PHP/Joomla代码中进行验证
浏览 0提问于2013-05-13得票数 1
这是token mismatch第三次让我发疯。我尝试按照其他人在堆栈溢出上的建议添加令牌,但这并没有解决问题。然后我试着从某些路线上移除防护措施,这甚至都不起作用。我不知道怎么回事。我就是这样移除csrf protection的
protected $except = ['/donate-money', 'donate-money-main', '/donate-money-main'];
我脑子里有这个
<meta name="csrf-token" content="{{ csrf_token() }}"
浏览 4提问于2015-12-06得票数 0
回答已采纳
1回答
Laravel CSRF刮除
、、、、
我只是想知道,拉拉CSRF保护真正增加了多少。
如果我错了,纠正我的错误,但你不能在获得一次会话后就刮掉页面的内容吗?
Laravel获取耦合到会话的CSRF令牌,并将其作为AJAX请求的元数据添加到页面中。
<meta name="csrf-token" content="{{ csrf_token() }}">
当然,如果不需要AJAX功能,您可以删除metatag,但假设您不需要。
一旦您有一个会话到位,CSRF将保持相同的会话。当然,对于某个人来说,这是一项很大的工作,但这不是CSRF令牌的可能解决办法吗?我想它仍然有助于有一层保护,以防止
浏览 4提问于2017-04-13得票数 0
4回答
我请求POST:
路线:
Route::post('/register','CommonController@postRegister')->name('register');
CSRF元标签:
<meta name="csrf-token" content="{{ csrf_token() }}">
$("#submitSalonForm").click(function(e) {
$.ajaxSetup({
headers: {
'X
浏览 2提问于2018-02-08得票数 2
回答已采纳
你好,这是我的路线(添加到routes.php):
Route::post('tsearch',array('before'=>'csrf',function(){
// $data = Input::all();
if(Request::ajax())
{
echo "hello";
}
}));
然后你就有了这样的表单:
<div class="input-group input-group-sm">
<input placeholder="
浏览 1提问于2014-07-22得票数 0
如何使用我的Laravel应用程序的ajax请求(GET或POST)自动添加csrf令牌,而无需手动将其添加到每个请求中。
我的ajax请求
$.ajax({
type:'post',
url: "/email/unique",
data: { "_token": "{{ csrf_token() }}", "email": email }
success: function(data) {
console.log(data);
}
浏览 0提问于2018-12-08得票数 4
回答已采纳
2回答
您好,我正在使用laravel代码检查电子邮件是否唯一,在前端我使用jquery,如下所示:
blade.php page
user_email: {
required: true,
email: true,
remote: {
浏览 21提问于2016-08-20得票数 3
回答已采纳
考虑一个web应用程序,它只包含HTML和JS for Front end,并且与Web API通信。
我试图保护我的应用程序免受CSRF的攻击,为此我参考了。
使用本文中的方法,我能够生成Anti CSRF令牌并将其传递给客户端。但是,它依赖于在进行常规CRUD操作调用之前必须发生的第一次AJAX调用。
使用这种方法,我需要澄清一些事情,以及一些替代方案。考虑到一个客户端访问此web应用程序(受基于AJAX的Anti CSRF令牌保护),并保持其会话打开,他访问一个恶意网站,该网站包含进行相同AJAX调用以获取CSRF令牌的页面(假设攻击者知道此过程),我认为他可以使用标头进行意外调用,从而
浏览 3提问于2017-08-16得票数 1
1回答
窗体具有csrf令牌,但例外于verifytokenexception。
<form action="{{ route('admin.brands.update', $brand) }}" method="post">
@method('patch')
@csrf
<button type="submit" class="d-block w-100 btn btn-light">Kaydet</button>
</form>
浏览 2提问于2020-12-30得票数 2
回答已采纳
1回答
我在通过postman或Java "io.restassured“发送API请求时遇到了问题。当我对UI执行相同的操作时,请求会返回正确的响应,但是当我通过postman或java代码尝试相同的操作时,会得到以下结果:
401不良请求
您的浏览器发送了无效请求。
java代码
public static void main(String[] args) {
String requestUrl = "exampleBaseUrl/app/reports/api/rest/v1/graphs?context=shipper&repo
浏览 0提问于2018-10-01得票数 1
1回答
我的场景
我正在用构建一个应用程序,并使用Laravel作为验证用户/其他功能的API。不过,我不确定我是否需要以同样的方式担心安全问题。我之所以这么说是因为laravel实现了CSRF (跨站点请求伪造)保护,但我的电子应用程序本质上不是一个站点,它是一个应用程序。举个例子,如果我要担心CSRF。如何使用普通JS创建CSRF令牌。
我的问题
当我使用像电子这样的软件时,我需要担心像CSRF这样的事情(或者类似这样的事情)吗?如果是这样的话,我将如何在JS中制作一个CSRF令牌来满足这些需求。
更多信息
您可以在应用程序中使用,但是我在任何地方都可以看到它的,因为它运行在windows上,但是
浏览 3提问于2017-11-24得票数 2
在检查我的CI 3.1.11代码以清理它(由XAMPP v2.3.4 localhost托管)时,如果我运行CI的跨站点请求伪造(csrf)保护,我似乎已经做了一些事情来阻止服务器接受任何jqxhr请求。
我正在使用其他http请求从服务器和外部文件(如加载jquery的<head>行、我的css文件等)获取信息。不管css设置的状态如何,这些文件都可以正常工作。
当我设置:$config['csrf_protection'] = TRUE;时,我的jqxhr请求总是会得到http 403错误(拒绝请求,这意味着有人试图进行黑客攻击)。我的基本问题是理解为什么会发生
浏览 5提问于2020-02-14得票数 0
回答已采纳
3回答
每当我尝试从api.php文件分配路由时,我都会得到一个401: Unauthenticated-Error。
这是路由:
Route::group(['prefix' => 'v1', 'middleware' => 'auth:api'], function () {
Route::post('admin/product-image-sort', 'ApiController@SaveProductImageSort')->name('api.save-prod
浏览 0提问于2017-03-21得票数 8
2回答
Laravel CSRF保护
、、、、
我知道CSRF攻击是什么,我读过有关它的文档,但是我很难深入理解CSRF保护是如何工作的,还有一些我找不到的一般性问题。
在中,它说Laravel自动生成一个令牌
..。由应用程序管理的每个活动用户会话。
它在哪里创建令牌(代码的哪一部分触发它)?
在创建之后,令牌在哪里存储在cookie中?在会议上?如何提取并查看已存储的内容?这都是由session.php控制的吗?
这意味着当我重新加载页面时,令牌是否仍然与session.php具有120分钟的默认生存期相同?
如果我将domain属性设置为"." . env('APP_URL'),
浏览 5提问于2017-12-13得票数 10
2回答
我在学习拉拉维尔。据我所知,目前的稳定版本是5.8。我正在学习教程,并且非常喜欢这个框架,但是当这些教程介绍了表单是如何结合起来的时候,它会变得有点麻烦。所有这些教程都使用LaravelCollective表单,它从5.8起就不再工作了,而且它是一个废弃的项目,所以我还是不想使用它。
但这让我搞不懂如何使用Laravel表单的最佳实践。我试过创建表格,但是.如果这是合理的话,大多数都是HTML,几乎没有任何Laravel“在那里”。这里唯一的Laravel位是form action,它指向TodosController中的store函数。有关名为create.blade.php的文件,请参阅下
浏览 0提问于2019-02-28得票数 0
回答已采纳
我得到了一个403禁止的错误,WARNING csrf.py _reject: Forbidden (CSRF token missing or incorrect.)是django日志。
这是我的html,jquery-
function req() {
var server_id = $( "#server option:selected" ).val();
$.post("/sp/add_req", JSON.stringify({ cir: {{ cir }}, server_id: server_id, csrfmiddleware
浏览 0提问于2018-09-11得票数 1
回答已采纳
我刚接触web dev。我正在开发一个带有google chrome扩展的laravel应用程序,以便使用jquery ajax向laravel应用程序发送post请求。
当我在App\Http\Kernel.php中注释此行时,\App\Http\Middleware\VerifyCsrfToken::class,
我的表单发布后,我点击了状态代码: 200。
但是如果我取消对该行的注释,我会得到状态代码: 419。
下面是我的popup.html代码:
<!doctype html>
<html>
<head>
<meta charse
浏览 0提问于2018-01-14得票数 2
回答已采纳
2回答
在用angularJS构建我的SPA时,我想在我的angularJS网站中实现用户身份验证。然而,我不知道从哪里开始,以及最佳实践是什么。
基本上,我确信可以有一个或多个角色。我寻找了一些示例,以便对如何正确地处理这些问题有一个基本的了解,但到目前为止,我只遇到了一些非常简单或不太安全的示例(比如)。
因此,我的问题是,如何使用REST (或自定义API )实现身份验证服务,然后使用angularJS在页面上显示用户信息,同时通过使用(例如) Laravel的csrf令牌来确保最佳的安全覆盖?
谢谢你,尼克·范德梅杰
浏览 0提问于2015-02-23得票数 9
回答已采纳
我使用这篇文章来使用会话来获取/设置csrf令牌,而不需要更改代码
如果用户首次登录页面,然后执行POST请求,则所有请求都会失败。(所有POST请求都发送CSRF令牌)。但是如果用户刷新页面,那么重新加载后的所有POST请求都将通过!
经过大量调试后,我发现在第一个页面加载时收到的CSRF令牌将不再与会话中保存的值匹配。当用户重新加载页面时,csrf令牌将更改为CSRF会话的值,并且所有POST请求都会成功。
我将会话自动启动设置为true。我也尝试在会话中使用cookie,但同样的问题也发生了。我还尝试了用户状态。
我可能已经有这个问题,因为我第一次开始这个一年的项目,但从来没有注意到它
浏览 4提问于2014-11-29得票数 0
我主页上的每个表单都显示了不同的真实性令牌。CSRF元标记显示了另一个真实性令牌。
它们不应该都是一样的吗?
我创建了一个新的Rails 4项目,所有令牌都匹配。
浏览 5提问于2013-10-05得票数 1
2回答
JWT令牌与CSRF
、、、
我仍然不清楚JWT和CSRF是否合作。我理解JWT的基本原理(它是什么以及它是如何工作的)。我也理解CSRF当与会话一起使用时。类似地,我理解将JWT存储在localStorage中存在风险,这就是您需要csrf令牌的原因。所以我的问题是,我该如何同时使用它们。简单地说,我有一个登录页面。
1)我让用户登录,一旦使用了电子邮件和密码,如果用户经过身份验证,服务器将发送CSRF并将httpOnly cookie存储在JWT中(如何使用PHP设置cookie )。我所理解的是,您可以使用header('Set-Cookie: X-Auth-Token=token_value; Secure
浏览 0提问于2017-11-19得票数 13
我正在使用Laravel和AngularJS制作网络应用程序。为了防止CSRF,我在index.php文件中添加了以下脚本。
<script>
angular.module("contactApp").constant("CSRF_TOKEN", '<?php echo csrf_token(); ?>');
</script>
但它显示了以下致命错误。
“调用未定义函数csrf_token()”
在Laravel设置中,我将view.php中的视图存储路径更改为public_html文件夹。好像是它造成了错误
浏览 0提问于2014-05-09得票数 1
回答已采纳
我使用Vuejs作为前端,Django rest框架作为后端,我有一些困惑如何使用csrf令牌,我的问题有两个部分,首先我写我的配置。
首先,正如所说,“如果你的视图没有呈现一个包含csrf_token模板标签的模板,Django可能不会设置CSRF token cookie。这在表单被动态添加到页面的情况下是很常见的。为了解决这种情况,Django提供了一个强制设置cookie的视图装饰器:ensure_csrf_cookie()",所以这是我的视图,它呈现加载了webpack包的页面。
@ensure_csrf_cookie
def main_view(request):
浏览 5提问于2021-04-10得票数 0
以下测试失败,因为它返回一个登录页,而不是内容。
TestRestTemplate restTemplate = new TestRestTemplate();
HttpHeaders headers = new HttpHeaders();
headers.setAccept(Arrays.asList(MediaType.TEXT_HTML));
headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
MultiValueMap<String, String> form = new LinkedMulti
浏览 0提问于2019-02-21得票数 1
我有一个反应项目和一个单独的Laravel项目,他们彼此沟通。但每当我向Laravel发出回复请求时,它就会给我一个CSRF Token Mismatch。如果表单在我的Laravel项目中,我可以将令牌作为字段添加到我的表单中,但是它是一个独立的项目,所以我不确定。
我试图在resources/js/bootstrap.js中添加令牌,因为我使用的是Axios。我将代码更改为:
import axios from 'axios';
window.axios = axios;
window.Laravel = {csrfToken: '{{ csrf_token()
浏览 4提问于2022-09-23得票数 0
我有一个页面,打开后,将一系列ajax帖子发送到通知端点。我希望使用来宾会话在所有帖子中保存数据。没有登录,但是不管上下文控制。我在用饼干。
我遇到了从会话恢复对象的问题--这些ajax请求(它们是空的),并且我注意到在通知端点的每个帖子中,我得到了request()->session()->getId()的不同值,这使我认为会话没有被正确地通信,这就是为什么我没有看到我希望看到的持久对象。
我的URL正在使用"web“中间件。
每次打开页面,我都会:
<script>
$.ajaxSetup({
headers: {
浏览 5提问于2016-10-24得票数 1
回答已采纳
16回答
嗨,为什么我的csrf令牌值是空的?当我不使用令牌时,我就没有TokenMismatchException!我怎么才能修好它?
我挖掘得更深入,发现没有在SessionServiceProvider中注册会话。在默认情况下,是否需要启用某些东西才能使其工作?由于我是一个Laravel初学者,我不知道如何遵循上述建议。如何确保将我的路线添加到"web“组中?
<form method="post" action="<?php echo url('/form'); ?>">
<input typ
浏览 0提问于2015-12-26得票数 8
回答已采纳
我和Laravel5.2和angularjs一起工作。我在html文件中生成令牌,如
<script>
angular.module("heliops").constant("CSRF_TOKEN", '<?php echo csrf_token(); ?>');
</script>
将此令牌发送到登录请求中,如
$http.post("authenticateAndLogin",{"email":$scope.loginData.email,"passwor
浏览 4提问于2016-03-31得票数 0
我正在通过邮递员在我用sails.js编写的restful上写一篇文章。在crfs.js配置文件中启用CSRF标志。这篇文章是在没有有效的csrf令牌的情况下执行的,但是正在工作,这让我感到惊讶。
在本例中,req.headers.origin被填充,源看起来类似于chrome扩展名://.由于isSameOrigin函数是针对http(s)进行验证的,因此不返回匹配项,因此结果为false,并且不执行csrf令牌验证。
密码能不能
if (sails.config.csrf && (!req.headers.origin || util.isSameOrigin(req)))
浏览 3提问于2014-02-20得票数 2
回答已采纳
1回答
我有一个用于laravel应用程序的jmeter测试,问题是为什么我从http请求采样器得到的每个页面都有一个相同的csrf-token (_token)。
这是我的jmeter结构。
首先,我想从主页获取令牌在登录页面上发布
在那之后,我尝试使用"post login“http请求登录并成功,
但是,当我想要在“购物车页面”中获得新的令牌时,为什么我会得到相同的令牌,比如:
因此,当我想使用token发布一个新的http请求时,得到的结果如下所示:
有没有人可以教我如何让“购物车页面”生成一个新的令牌来发布新的htpp请求?
浏览 0提问于2018-12-14得票数 1
1回答
我有一个涉及两个微服务的体系结构。工作流程如下:
localhost:3000 用户访问URL (localhost:8090)并通过microservice 1在数据库中注册,注册后用户被重定向到运行在上的服务2。
现在,鉴于我对CSRF和JWT令牌的了解有限,我目前使用以下代码进行重定向
res.setCookie('jwt_signed', token, ...);
res.redirect('localhost:3000');
然后在服务2中,我对签名的令牌进行解码和验证,以检查传递的数据的完整性。此外,我还看到在cookie中传递的CSRF令牌。
现在
浏览 2提问于2021-01-26得票数 0
回答已采纳
我的AJAX请求返回错误代码419时出现了问题。AJAX使用POST方法。我已经使用了csrf_token(),比如:
<meta name="csrf-token" content="{{ csrf_token() }}">
$.ajaxSetup({
headers: {
"X-CSRF-TOKEN": $("meta[name='csrf-token']").attr("content")
}
});
AJAX请求在注册和注销时工作。但是在登录时,我
浏览 2提问于2020-07-17得票数 4
您好,我有一个登录表单,返回一个419页的过期错误,每次我提交它,我已经在表单内设置了@csrf但什么都没有,也尝试了表单内的csrf_filed,但它在meta标签内的头中,但仍然不起作用,我在一个实时服务器上工作,所以我在我的localhost上下载了文件,并尝试再次提交表单,一切正常,但在服务器上它仍然返回错误419 pages expired,并且还试图将请求提交给一个函数,该函数只返回hello world,但它也返回page expired,我头上什么都没有,我尝试了所有我知道的东西,但都没有起作用,请帮助我。
非常感谢
浏览 0提问于2020-03-22得票数 0
1回答
我试图使用Hapi的插件来实现针对CSRF攻击的解决方案,但我似乎没有得到解决方案流。我可以简单地在每个http响应中设置一个令牌作为cookie。接下来的问题是,如果客户端发出令牌,REST如何验证CSRF令牌?REST后端如何理解该随机字符串对此请求有效,而另一个随机字符串不有效?
浏览 1提问于2017-07-10得票数 1
回答已采纳
我的应用程序是使用Rails3构建的,并且我已经在application.html.erb中添加了csrf_meta_tag。
<%= csrf_meta_tag %>
身份验证令牌对于不同的用户是不同的,但是令牌在整个会话中是相同的,也就是说,对于每个put和post请求,它不会改变。
你知道怎么解决这个问题吗?
浏览 12提问于2012-08-16得票数 1
回答已采纳
我是Stackoverflow和Laravel 4的新手,我正在尝试通过jquery ajax提交表单。我使用serializeArray()提交表单并使用json提交它。在laravel中,我检查了提交的csrf令牌,然后转到我的控制器获取进程输入。与serializeArray()一样,当_token输入在数组中时,csrf检查不起作用。我必须获得ajax的值,并将其作为单独的_token数据提交。我想知道是否有一种方法可以告诉csrf filter在哪里运行,以检查字段_token的输入数组并使用它?下面是我的代码:
routes.php
Route::post('searchA
浏览 5提问于2013-12-08得票数 15
3回答
避免CSRF令牌
、、、
我有一个场景,我已经有了CSRF令牌,但我必须删除它。在电子商务中,产品页面由Varnish缓存,所以如果用户直接登录到这里,他将没有会话ID来验证令牌。在这个页面中,我有一个“添加到购物车”按钮,它有CSRF令牌,但当然它是用错误的令牌缓存的。
我的问题是:还有另一种方法可以在不依赖与令牌一起隐藏的输入的情况下获得CSRF保护吗?按钮所在的页面必须被缓存,所以本例中的标记并不好用。
谢谢。
浏览 2提问于2014-03-01得票数 0
4回答
我在提交拉拉维尔申请表格时遇到了问题。它报告了419错误.
我的代码:
<form action="login" method="POST">
<input id="csft_pass" type="hidden" name="_token" value="{{ csrf_token() }}">
.....
</form>
我试过修复它:
<form action="login" method="PO
浏览 1提问于2019-08-02得票数 0
我让这个ajax请求在我的本地主机上运行。但是当我上传到共享主机时,它们会抛出500个内部服务器错误。我正在通过_token。
var token = $('meta[name="csrf-token"]').attr('content');
$('.enviarForm').on('click',function(){
var data = {
'email': $('#email').val(),
浏览 3提问于2016-07-29得票数 0
我在PHP7.2上有多页Laravel5.6
直到今天早上,当我签约使用另一台电脑时,一切都很好。我头上有我的CSRF令牌,并按照文档中的说明为ajax抓取它们。再次-页面工作直到我在另一台电脑下注册。
现在,我在ajax上得到了419个错误。我查看我的GIT提交,发现在javascript和head模板方面没有任何变化。
对我来说,这显然是一个象征性的错配问题。但是如何调试呢?没有生成服务器端的错误,从ajax返回的错误是
exception:"Symfony\Component\HttpKernel\Exception\HttpException“
file:"E:\In
浏览 1提问于2018-07-10得票数 0
回答已采纳
3回答
几个月前,我的同事通过获得工作时间表创建了一个日历订阅。我相信他是由cURL做的。
现在,我正在构建一个网站,对今天应该完成的任务进行概述。
我想检索时间表,这样我就可以使用它显示特定一天工作人员的姓名。
我在网上找到了一个教程,它解释了如何在登录后获得de数据。我所做的是复制登录表单中输入字段的名称,以及名为signin_csrf_token的隐藏字段的名称。
使用这些名称,我创建了以下代码:
<?php
$username = "myusername";
$password = "mypassword";
$url = "http://pla
浏览 1提问于2015-02-28得票数 1
回答已采纳
1回答
我正在创建一个带有Node.js后端的React网站。我一直试图找出一个用户身份验证实现来防止CSRF攻击,但是我真的很困惑在哪里存储反CSRF令牌。
我的安全实现思想过程如下..。
用户提交使用凭据登录的请求。
凭据是经过认证的。
服务器创建会话。
服务器创建用作反CSRF令牌的JWT。
服务器将JWT (反CSRF令牌)存储在会话存储中。
服务器向客户端发送响应。
响应具有在客户端将会话ID存储在HttpOnly cookie中的头。
响应有效载荷包括JWT (反CSRF令牌)。
客户端收到响应。
HttpOnly cookie保持
浏览 0提问于2018-10-12得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
