【laravel 实现杂谈】csrf - (sunznx) 振翅飞翔
09 September 2019

laravel 对 csrf 的支持很早就听过了,一直好奇是如何实现的,token 会不会自动更新之类的。

瞥了下代码很简单的,在 Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php 。代码就不帖了,简单的讲:
就是处理请求之前,先从 request/header 里面拿到 csrf_token ,然后再和 session 中存的 token 进行比较,如果不一样就拒绝处理请求。

session 的 token 是在 session_start 时生成,然后将会这个 token 值写入到 cookie 中,key 为 XSRF-TOKEN

相关阅读:
(转)Session Cookie 的 HttpOnly 和 secure 属性