【发布时间】:2015-10-06 02:32:55
【问题描述】:
我正在使用 Laravel(后端)和 ReactJS 和 JQuery(前端)构建一个类似 CMS 的 Web 应用程序。
我决定将现有的 Web API 放到一个单独的域 (api.test.com) 中,而我的用户界面在不同的域 (test.com) 上。
在 test.com 上,我向 api.test.com 发起 ajax 请求以修改服务器上的某些资源:
$.ajax({
url: "api.test.com",
method: 'POST',
data: {...}
success: function (no) {
// ...
}
});
当然,由于安全问题,这是非法的。但是,我可以配置我的网络服务器:
对于 Nginx:
add_header Access-Control-Allow-Origin http://test.com;
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE;
add_header Access-Control-Allow-Headers X-Requested-With,X-CSRF-TOKEN,X-XSRF-TOKEN;
Access-Control-Allow-Origin问题完美解决了,但是由于Laravel的CSRF保护又出现了一个问题...
默认情况下,Laravel 需要在请求中包含 CSRF 令牌(POST,PUT...这将修改资源)。
就我而言,我必须在 api.test.com 而不是 test.com 上生成 csrf_token,因为不同的域不共享令牌。
我遵循 Laravel 的用户指南并将这些代码添加到我的前端:
$.ajax({
url: "api.test.com/token", // simply return csrf_token();
method: "GET",
success: function (token) {
// Now I get the token
_token = token;
}.bind(this)
});
并修改之前的请求实现:
$.ajax({
url: "api.test.com",
method: 'POST',
headers: {
"X-CSRF-TOKEN": _token // Here I passed the token
},
data: {...}
success: function (no) {
// ...
}
});
但是 Laravel 响应的状态码是 500。然后我检查了 VerifyCsrfToken.php:
protected function tokensMatch($request)
{
$token = $request->input('_token') ?: $request->header('X-CSRF-TOKEN');
if (!$token && $header = $request->header('X-XSRF-TOKEN')) {
$token = $this->encrypter->decrypt($header);
}
// Log::info($request->session()->token() . " == $token");
return Str::equals($request->session()->token(), $token);
}
我 'POST' 到的 $token 不同于原来的 ($request->session()->token()强>)。
我发现调用$.ajax时服务器上的验证令牌不同。
我尝试将两个请求放在同一个会话中(通过更改 cookie),但这是不可能的。
我花了很多时间来解决这个问题,但没有解决。
有什么想法或解决方案吗?
谢谢, 米库兹
【问题讨论】:
-
我将向 VerifyCsrfToken 添加代码,使您的 API 路由无需 CSRF 令牌。
标签: php jquery ajax laravel csrf