[PHP] - Laravel - CSRF token禁用方法
方法一

打開文件：app\Http\Kernel.php

把這行注釋掉：'App\Http\Middleware\VerifyCsrfToken'

方法二

打開文件：app\Http\Middleware\VerifyCsrfToken.php

修改為：
<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 */
public function handle($request, Closure $next)
{
    // 使用CSRF
    //return parent::handle($request, $next);
    // 禁用CSRF
    return $next($request);
}

}

CSRF的使用有兩種惋增，一種是在HTML的代碼中加入：

<input type="hidden" name="_token" value="{{ csrf_token() }}" />

另一種是使用cookie方式噪矛。

使用cookie方式，需要把a(bǔ)pp\Http\Middleware\VerifyCsrfToken.php修改為：

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 */
public function handle($request, Closure $next)
{
    return parent::addCookieToResponse($request, $next($request));
}

}

使用cookie方式的CSRF，可以不用在每個(gè)頁面都加入這個(gè)input的hidden標(biāo)簽。

當(dāng)然，也可以對(duì)指定的表單提交方式使用CSRF溺健，如：

<?php namespace App\Http\Middleware;

use Closure;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;

class VerifyCsrfToken extends BaseVerifier {

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 */
public function handle($request, Closure $next)
{
    // Add this:
    if($request->method() == 'POST')
    {
        return $next($request);
    }
    
    if ($request->method() == 'GET' || $this->tokensMatch($request))
    {
        return $next($request);
    }
    throw new TokenMismatchException;
}

}
只對(duì)GET的方式提交使用CSRF，對(duì)POST方式提交表單禁用CSRF

擴(kuò)展：：：
<input type="hidden" name="_token" value="<?php echo csrf_token(); ?>">{{ csrf_token() }}

該段代碼等同于全局幫助函數(shù)csrf_field的輸出：

<?php echo csrf_field(); ?>
在Blade模板引擎中還可以使用如下方式調(diào)用：
{!! csrf_field() !!} 顯示html標(biāo)簽

3钮蛛、X-CSRF-Token及其使用
如果使用Ajax提交POST表單鞭缭，又該如何處理呢？我們可以將Token設(shè)置在meta中：

<meta name="csrf-token" content="{{ csrf_token() }}">

然后在全局Ajax中使用這種方式設(shè)置X-CSRF-Token請(qǐng)求頭并提交：

$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
Laravel的VerifyCsrfToken中間件會(huì)檢查X-CSRF-TOKEN請(qǐng)求頭愿卒，如果該值和Session中CSRF值相等則驗(yàn)證通過缚去，否則不通過。

4.獲取相關(guān)token值
<input type="hidden" name="_token" value="{{ csrf_token() }}" />
$("input[name='_token']").val();
<input type="hidden" id="_token" value="{{ csrf_token() }}" />
$("#_token").val();
<meta name="_token" content="{{csrf_token()}}"/>
$("meta[name='_token']").attr('content');