Day4 跟着官方文件学习Laravel-CSRF保护

举例：
想像你的产品有个/user/email route允许post request去修改已经认证过的使用者的email

而这时若没有CSRF保护, 恶意网站可以创造一个html表单指向你的产品/user/email 且送出恶意的email address

<form action="https://your-application.com/user/email" method="POST">
    <input type="email" value="[email protected]">
</form>

<script>
    document.forms[0].submit();
</script>

为了保护这个问题，我们需要检查所有post、put、patch和delete 请求的secret session值让恶意的应用无法进入

Laravel 自动生成一个CSRF token给每个session, 这个token用来确认已经认证过的使用者确实就是送请求来的人。因为这个token被存在使用者的session且每次session生成时就会在生成，让恶意程序无法近来。

至於token 我们可以透过request的session曲的token,或直接call csrf_token()

use Illuminate\Http\Request;

Route::get('/token', function (Request $request) {
    $token = $request->session()->token();

    $token = csrf_token();

    // ...
});

而在我们定义"POST", "PUT", "PATCH", or "DELETE" 在html表单时, 需加上_token这个栏位，为了方便，我们可以用@csrf 替代

<form method="POST" action="/profile">
    @csrf

    <!-- Equivalent to... -->
    <input type="hidden" name="_token" value="{{ csrf_token() }}" />
</form>

而App\Http\Middleware\VerifyCsrfToken
这只middleware会帮我们检查传进来的token是否跟session里的token相同

除了在POST当参数，App\Http\Middleware\VerifyCsrfToken也可以用X-CSRF-TOKEN在request header里

<meta name="csrf-token" content="{{ csrf_token() }}">

接着你可以在jquery里自动加入X-CSRF-TOKEN到request header里面

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});

好，这样我了解CSRF保护的重要性了，明天我要来试试看能不能把登入画面填的值送到程序里面让程序能接到这些值。