CSRF 保护

CSRF 白名单

Laravel 提供简单的方法保护你的应用不受到跨站请求伪造 (CSRF) 攻击。跨站请求伪造是一种恶意的攻击，它利用已通过身份验证的用户身份来运行未经授权的命令。

Laravel 会为每个活跃用户自动生成一个 CSRF “token” 。该 token 用来核实应用接收到的请求是通过身份验证的用户出于本意发送的。

无论何时，当你需要定义一个 HTML 表单，你都应该在里面包含一个隐藏的 CSRF token ，只有这样，CSRF 保护中间件才会验证请求。你可以使用辅助函数来生成 token 隐藏字段：

VerifyCsrfToken ，是包含在 web中间件组中的，它会自动验证请求中的 token 是否与 session 中的相匹配。

有时候你可能会希望一组 URIs 不要被 CSRF 保护。你如果使用 Stripe 处理付款，并且利用他们的 webhook 系统，你需要从 CSRF 保护中排除 webhook 的处理路由，因为 Stripe 不会知道传递什么 CSRF token 给你的路由。

一般的，你不应该把这种类型的路由写在 routes/web.php 文件中，因为此文件的所有路由在 RouteServiceProvider 中被绑定到中间件组中（web 中间件组下的所有路由默认会进行 VerifyCsrfToken 过滤）。不过如果一定要这么做，你也可以通过在 VerifyCsrfToken 中间件中增加 $except 属性来排除这种路由：

除了检查被作为 POST 参数传递的 CSRF token 之外, 中间件也会检查请求标头中的 X-CSRF-TOKEN。例如，你可以将其保存在 meta 标签中：

Laravel 会通过响应把当前的 CSRF token 保存在 XSRF-TOKEN cookie 中。你可以使用该 cookie 的值来设置请求标头。

这个 cookie 通常会以更便捷的方式传递。因为一些 JavaScript 框架会自动将它的值设置到 X-XSRF-TOKEN 请求标头中，如 Angular。