LarvelでAjaxリクエストを送信

Question

csrfトークンが与えられていないため、私のajax urlが500を返すので、csrfトークン（私はLaravelを使用しています）をajaxリクエストで渡す方法を学びたいと思っています。

get要求を使用するのは安全ですか？人々は外部サイトからの要求を偽装できますか？私はちょうどセキュリティホールなしでこれを行うための最善の方法を探しています。ここ

は私のAjaxコードである：私のルートで

<script>$.ajaxSetup({ headers: { 'csrftoken' : '{{ csrf_token() }}' } });</script> 

：私のAjaxのコントローラで

Route::group(['middleware' => 'ajax', 'prefix' => 'ajax'], function() { 
      Route::any('/save-notes', 'AjaxController@saveNotes'); 
     }); 

：

<?php 

namespace App\Http\Controllers\Admin\Admin; 

use Illuminate\Http\Request; 
use Cache; 
use Auth; 
use App\Database\Website\User\Roleplay; 

class AjaxController 
{ 
    public function saveNotes() 
    { 
     if (!Auth::guest()) { 
      $roleplay = Roleplay::where('user_id', Auth::user()->id)->first(); 
      $roleplay->housekeeping_notes = 'We saved it:) ' . rand(10,40); 
      $roleplay->save(); 
     } 
    } 
} 

私のブレードファイルで

saveHousekeepingNotes(); 

function saveHousekeepingNotes() { 
    $.ajax({ 
     url: "/ajax/save-notes", 
     type: "POST", 
     data: 'Here we have some data.', 
     beforeSend: function(xhr) { 
      $('.notes-status-holder').html('Saving...'); 
     }, 
     success: function(data) { 
      var jqObj = jQuery(data); 
      var d = new Date(); 
      $('.notes-status-holder').html('autosaved ' + d.toLocaleTimeString()); 

      setInterval(function() { 
       saveHousekeepingNotes(); 
      }, 5 * 1000); 
     }, 
    }); 
} 

私のajaxミドルウェアは$ request-> ajax（）がajax呼び出しを確認するかどうかをチェックします。だから私は基本的に尋ねるのは、どのようにしてcsrfトークンを安全に渡すことができるかということです。ララヴェルはそれを処理しますか？またはこれを行う良い方法はあります..です

Answer 1

だけでなく、あなたがより良いそうのように、メタタグであなたのCSRFトークンを保存Laravel Docsに従って：あなたのメインのJavaScriptファイルはこのヘッダを含めるの内側その後

<meta name="csrf-token" content="{{ csrf_token() }}"> 

すべての要求（指定したヘッダ名が間違っていたことに注意してください）で：

$.ajaxSetup({ 
    headers: { 
     'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') 
    } 
}); 

そして、それが動作するはずです:)

Answer 2

をただ、これを使用します。

_token: '{{ csrf_token() }}' 

これは、ajaxリクエストでもフィールドの名前が送信されているためです。
通常、csrf_fieldを作成した場合、名前は_tokenであり、ここでそれを使用するだけです。

$.ajax({ 
    url: "/ajax/save-notes", 
    type: "POST", 
    data: { 
     _token: '{{ csrf_token() }}', 
     // rest data here 
    }, 
    beforeSend: function(xhr) { 
     $('.notes-status-holder').html('Saving...'); 
    }, 
    success: function(data) { 
     var jqObj = jQuery(data); 
     var d = new Date(); 
     $('.notes-status-holder').html('autosaved ' + d.toLocaleTimeString()); 

     setInterval(function() { 
      saveHousekeepingNotes(); 
     }, 5 * 1000); 
    }, 
}); 

Answer 3

あなたはCSRFあなたが現在行っている方法を渡したい場合は、あなたのスクリプトにこのヘッダを渡すためにhtaccessファイルを伝え、またそれが名前

<IfModule mod_rewrite.c> 
<IfModule mod_negotiation.c> 
    Options -MultiViews 
</IfModule> 

RewriteEngine On 

# Handle Front Controller... 
RewriteCond %{REQUEST_FILENAME} !-d 
RewriteCond %{REQUEST_FILENAME} !-f 
RewriteRule^index.php [L] 


# Handle custom csrf Header 
    RewriteCond %{HTTP:csrftoken} . 
    RewriteRule .* - [E=X-XSRF-TOKEN:%{HTTP:csrftoken}] 
</IfModule> 

入れが@Afik​​Deriソリューションであることを覚えているのです変更する必要がありますもっとportable.and cleaner