在 web 路由文件中所有請求方式為 PUT 、 POST 或 DELETE 的 HTML 表單都會包含壹個 CSRF 令牌字段,否則,請求會被拒絕。關於 CSRF 的更多細節,可以參考其文檔:
<form method="POST" action="/profile">
{{ csrf_field() }}
...
</form>
跨站請求偽造是壹種通過偽裝授權用戶的請求來利用授信網站的惡意漏洞。 Laravel 使得防止應用遭到跨站請求偽造攻擊變得簡單。
Laravel 自動為每壹個被應用管理的有效用戶會話生成壹個 CSRF “令牌”,該令牌用於驗證授權用戶和發起請求者是否是同壹個人。
任何時候在 Laravel 應用中定義 HTML 表單,都需要在表單中引入 CSRF 令牌字段,這樣 CSRF 保護中間件才能夠正常驗證請求。想要生成包含 CSRF 令牌的隱藏輸入字段,可以使用輔助函數 csrf_field 來實現