jQuery добавляет токен CSRF ко всем данным запросов $.post().
Я работаю над приложением Laravel 5, в котором по умолчанию включена защита CSRF для всех запросов POST. Мне нравится эта дополнительная безопасность, поэтому я пытаюсь работать с ней.
Делая простой $.post() запрос я получил 'Illuminate\Session\TokenMismatchException' ошибка, потому что требуемая форма ввода _token отсутствовал в данных POST. Вот пример запроса $.post:
var userID = $("#userID").val();
$.post('/admin/users/delete-user', {id:userID}, function() {
// User deleted
});
Я храню токен CSRF в виде мета-поля в заголовке и могу легко получить к нему доступ, используя:
var csrf_token = $('meta[name="csrf-token"]').attr('content');
Можно ли добавить это к данным JSON на всех исходящих $.post() Запросы? Я пытался использовать заголовки, но Laravel, похоже, не узнал их -
var csrf_token = $('meta[name="csrf-token"]').attr('content');
alert(csrf_token);
$.ajaxPrefilter(function(options, originalOptions, jqXHR){
if (options['type'].toLowerCase() === "post") {
jqXHR.setRequestHeader('X-CSRFToken', csrf_token);
}
});
6 ответов
Ваш $.ajaxPrefilter подход хороший. Вам не нужно добавлять заголовок, хотя; вам просто нужно добавить свойство к data строка.
Данные предоставляются в качестве второго аргумента $.post, а затем отформатирован как строка запроса (id=foo&bar=baz&...) до того, как префильтр получит доступ к data вариант. Таким образом, вам нужно добавить собственное поле в строку запроса:
var csrf_token = $('meta[name="csrf-token"]').attr('content');
$.ajaxPrefilter(function(options, originalOptions, jqXHR){
if (options.type.toLowerCase() === "post") {
// initialize `data` to empty string if it does not exist
options.data = options.data || "";
// add leading ampersand if `data` is non-empty
options.data += options.data?"&":"";
// add _token entry
options.data += "_token=" + encodeURIComponent(csrf_token);
}
});
Это превратится id=userID в id=userID&_token=csrf_token,
Из документации Laravel:
Например, вы можете сохранить токен в метатеге:
Создав метатег, вы можете дать указание библиотеке, например jQuery, добавить токен во все заголовки запроса. Это обеспечивает простую и удобную защиту CSRF для ваших приложений на основе AJAX:
$.ajaxSetup ({заголовки: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });
Так, например, вы можете сделать запрос, как показано ниже.
Добавьте этот метатег к вашему виду:
<meta name="csrf-token" content="{{ csrf_token() }}">
И это пример сценария, с которым вы можете связаться с Laravel (отправляет запрос, когда вы щелкаете элемент с id="some-id", и вы можете увидеть ответ в элементе с id="result"):
<script type="text/javascript">
$(document).ready(function(){
$.ajaxSetup({
headers:
{ 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') }
});
$("#some-id").on("click", function () {
var request;
request = $.ajax({
url: "/your/url",
method: "POST",
data:
{
a: 'something',
b: 'something else',
},
datatype: "json"
});
request.done(function(msg) {
$("#result").html(msg);
});
request.fail(function(jqXHR, textStatus) {
$("#result").html("Request failed: " + textStatus);
});
});
});
</script>
В целом я согласен с предложенной Корнелем концепцией, за исключением одной вещи.
Да, совет по использованию Laravel $.ajaxSetup, но это не рекомендуется, так как этот метод влияет на все последующие запросы Ajax. Правильнее устанавливать настройки ajax для каждого запроса. Хотя вы можете переустановить вещи:
Все последующие вызовы Ajax, использующие любую функцию, будут использовать новые настройки, если они не будут переопределены отдельными вызовами, до следующего вызова $.ajaxSetup().
Если вы используете $.ajax()удобнее использовать либо data собственность или headers, Laravel допускает использование CSRF-токена как параметра запроса или заголовка.
Сначала вы добавляете следующий метатег в представление
<meta name="csrf-token" content="{{ csrf_token() }}">
А затем сделайте запрос ajax в любом случае:
$.ajax({
url: "/your/url",
method: "POST",
data:
{
a: 'something',
b: 'something else',
_token: $('meta[name="csrf-token"]').attr('content')
},
datatype: "json"
});
ИЛИ ЖЕ
$.ajax({
url: "/your/url",
method: "POST",
data:
{
a: 'something',
b: 'something else',
},
headers:
{
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
datatype: "json"
});
Документация Django по CSRF дает хороший фрагмент кода с ajaxSetup для автоматического добавления соответствующего заголовка ко всем типам запросов, где это имеет значение:
function csrfSafeMethod(method) { // these HTTP methods do not require CSRF protection return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method)); } $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!csrfSafeMethod(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } });
Нет необходимости устанавливать какие-либо метатеги ни csrf_token(), ни csrf_field ()!
Вы можете использовать этот фрагмент jQuery:
$.ajaxPrefilter(function( settings, original, xhr ) {
if (['post','put','delete'].includes(settings.type.toLowerCase())
&& !settings.crossDomain) {
xhr.setRequestHeader("X-XSRF-TOKEN", getCookie('XSRF-TOKEN'));
}
});
function getCookie(name) {
var cookieValue = null;
if (document.cookie && document.cookie != '') {
var cookies = document.cookie.split(';');
for (var i = 0; i < cookies.length; i++) {
var cookie = jQuery.trim(cookies[i]);
// Does this cookie string begin with the name we want?
if (cookie.substring(0, name.length + 1) == (name + '=')) {
cookieValue = decodeURIComponent(cookie.substring(name.length + 1));
break;
}
}
}
return cookieValue;
}
просто несколько других ответов пытались установить заголовок csrf, но согласно документам Laravel ( здесь) ключ заголовка должен быть "X-XSRF-TOKEN", а сам Laravel предоставляет необходимое значение для каждого запроса для нас в файле cookie с именем "XSRF- ТОКЕН "
так что просто исправил ключи и отредактировал несколько строк, спасибо
Я думаю, что вышеуказанное решение может не сработать. Когда вы делаете:
var x;
x + ""
// "undefined" + empty string coerces value to string
Вы получите данные как "undefined_token=xxx"
Когда вы используете вышеупомянутое решение для удаления laravel, например, вы должны проверить так:
if (typeof options.data === "undefined")
options.data = "";
else
options.data += "&";
options.data = "_token=" + csrf_token;
Есть гораздо более простой способ сделать это, вы можете сериализовать данные так, как перед отправкой
<form method="post" id="formData">
<input type="text" name="name" >
<input type="hidden" name="_token" value="{{ csrf_token() }}">
<input type="submit" id="sub" class="btn btn-default" value="Submit" />
</form>
<script>
$(document).on('submit', '#formData', function (event) {
event.preventDefault();
var formData = $('#formData').serialize();
$.ajax({
url: url,
type: "POST",
data : formData,
success: function (result) {
console.log(result);
}
});
});
});
</script>
все с именем attr будет вставлено в запрос и отправлено