laravel 去掉csrf

Laravel是一款受歡迎的PHP框架，已經成為了專業開發者和初學者們備受青睞的選擇。 Laravel框架實現了CSRF保護，是為了防止跨站請求偽造攻擊。然而，在某些情況下，有時候需要去掉CSRF保護，本文將帶你了解在Laravel中去掉CSRF保護的方法。

1. 什麼是CSRF保護

跨站請求偽造，英文縮寫為CSRF，是常見的Web攻擊。攻擊者利用受害者在登入狀態下的身份，偽造請求，達到惡意操作的目的。為了防止這種攻擊，Laravel實現了CSRF保護功能，可以很好的保護網路應用程式。

2. Laravel中CSRF保護的實作

Laravel中實現CSRF保護，主要是透過以下三個步驟：

2.1. 產生CSRF token

在HTML表單中加入csrf_field指令，這個指令會自動產生CSRF token，並加入到表單隱藏域。

<form>
@csrf
<input type="text" name="name">
<input type="submit" value="Submit">
</form>

2.2. 驗證CSRF token

在後端，Laravel會驗證請求的CSRF token是否合法。如果不合法，將傳回一個錯誤訊息。在Laravel 5.6及以後的版本中，預設添加了CSRF保護中間件，所有Post請求都會進行CSRF驗證。如果您的請求沒有正確攜帶CSRF token，將得到下面的錯誤訊息：

TokenMismatchException in VerifyCsrfToken.php line 68:

2.3. 跨站腳本攻擊防護

為了防止跨站腳本攻擊，您應該遵循"轉義輸出"的原則，不要直接輸出使用者提供的數據，而應該對其進行處理後再輸出。例如，使用htmlentities或htmlspecialchars函數將HTML特殊字元進行轉義。

以上就是Laravel實現CSRF保護的方法。下面我們將介紹如何去除這種保護。

3. 如何去掉Laravel中的CSRF保護

如果您的網路應用程式中，不需要進行CSRF保護，您也可以去掉Laravel中的CSRF保護。以下我們將介紹兩種去掉CSRF保護的方法。

3.1. 關閉CSRF保護中間件

預設情況下，Laravel所有的Post請求都會進行CSRF驗證。如果您想要去掉這種驗證，可以將CSRF保護中間件從Middleware中去掉。具體方法如下：

開啟app/Http/Kernel.php文件，在$middlewareGroups數組中，找到web中間件組，將['IlluminateFoundationHttpMiddlewareVerifyCsrfToken']這個中間件從該數組中刪除即可。

protected $middlewareGroups = [
    'web' => [
        AppHttpMiddlewareEncryptCookies::class,
        // IlluminateSessionMiddlewareAuthenticateSession::class,
        // IlluminateRoutingMiddlewareSubstituteBindings::class,
        // IlluminateFoundationHttpMiddlewareVerifyCsrfToken::class,
    ],

    'api' => [
        'throttle:60,1',
        'auth:api',
    ],
];

此時，所有的Post請求都不會進行CSRF保護驗證。雖然可以去掉CSRF保護，但這也代表著一定的安全風險。因此建議只在嚴格的測試環境下開啟。

3.2. 手動忽略CSRF保護

如果在全域範圍內關閉CSRF保護中間件，您可以在特定的路由或控制器中手動忽略CSRF保護驗證。具體方法如下：

在需要放行的路由或控制器方法中，使用withoutMiddleware方法:

Route::post('route', function () {
    //
})->withoutMiddleware([IlluminateFoundationHttpMiddlewareVerifyCsrfToken::class]);

這種方法可以在某些特殊情況下使用，但不建議在所有的路由都採用此方法。

綜上所述，Laravel中實現CSRF保護是一個很好的安全措施，在不必要的情況下，不建議去掉CSRF保護。如有需要，可以透過以上方法去除CSRF保護。當然，在實際專案開發中，請根據實際情況謹慎使用。

以上是laravel 去掉csrf的詳細內容。更多資訊請關注PHP中文網其他相關文章！