这是一个创建于 1737 天前的主题,其中的信息可能已经有所发展或是发生改变。
使用 Laravel 5.8, 有时候会偶尔遇到明明请求带了 CSRF Token,却还是被报 419 错误“会话已过期”拒之门外。
一般我会直接清空 Cookie 解决,今天认真的调试了一下,发现是 Token 不停的随每次请求变化所致:随便找个 Get 方法的控制器里 dd 打印 token,发现浏览器刷新一次 Token 就变一次。
不清楚正常情况下行为是怎样的,文档也没有描述,不过我认为至少也应该是每次 POST 请求用掉了才更新吧,按理说每个 Session 共享一个就足以起到防护的作用了。这里随请求变化,拿到的 Token 就已经是过期的了,那还怎么验证?
以前使用 Laravel 5.3 没有遇到过,中间有一段时间没有接触这个,不知道是不是有什么变化?
请问有遇到过相同问题的吗?
PS: 调试时 dd 的是使用csrf_token()辅助函数拿到的,ajax 发送的请求是按照文档使用如下方法设置的。
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
 |
1
sujin190 2019-07-24 17:05:27 +08:00
本来就是每次请求就刷个新的给你,服务器又不记录哪些用哪些不用
|
 |
2
wooyuntest 2019-07-24 21:59:51 +08:00
建议先了解下 csrf 攻击原理
|
Select Language