如何给被视作为静态资源的spa加上csrf保护？

Question

最近我在使用react+react-router开发spa，后台使用的是yii2。nignx设置的是当404就返回index.html。但是这样子有个问题是，我没有办法使用csrf的保护，这样子要怎么解决呢？

我看到了一个网站使用的技术栈和我的差不多，我看了它是在head标签上面写了一个含有token值的meta标签，而它的每一个请求都会将这个token作为header的值发回去。这样子要怎么做？要怎么将token值渲染到这个index.html里头？

高洛峰 · Answer

$.ajax({
url: 你的url
type：依什么方式
dataType:数据类型
data :
headers:{'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') ? $('meta[name="csrf-token"]').attr('content') : ''},
beforeSend:function(msg){
alert('等待回调');
},
})