我最讨厌在文章开头重复一些基础知识了…… 但是大家都这么做(-__-)b

CSRF是”cross site request forgery”的意思，简单来说就是防止恶意页面中一个简单的form提交，就向你保持了登陆状态了网站里请求做一些你不想做的事情……言尽于此，我们之间看Laravel里的CSRF相关的内容吧！

Laravel(5以后)有个默认的CSRF middleWare，所有POST，PUT请求都会经过这个middleWare，看有没有csrf的token存在并且匹配，不存在的话就会抛出错误页面。提一句，如果做微信接口的话，一定要在接口地址上把这个middleWare给去掉，因为微信大多数都是把数据POST过来的，而你不能奢望微信给你附上一个csrf_token。。。

在Laravel的表单中，埋入一个就可以在表单请求的时候发出正确的token，这样就不会有问题了，而在ajax请求的时候呢，方法多多~

1. 如果你是用ajax submit一个已经存在的form，那么就和平常一样，把csrf藏在表单里就好了，万事大吉。

2. 如果你不是提交表单，那么就要考虑将token值放在一个什么地方，比如还是一个input中，然后ajax提交的时候去读取这个input，附在提交值中。

3. 当然，token值也可以不放在提交的值中，而放在headers里，如果你的js脚本直接写在blade模板里，可以用

来把token值提交给服务器。

4. 当然很多时候js是在静态文件里的，那么可以把token值放在html的meta里，就像这样

这样就能用

5. 然而以上的方法都不够帅！！！因为你总是要在页面的什么地方调用csrf_token()输出这个值，然后用js脚本获得这个值~

我看Laravel源码的时候发现，Laravel默认会把CSRF_TOKEN的值写在一个叫XCRF-TOKEN的cookie中，其实每次访问这个值都会发生变化，那我们只要用这个值就好了嘛，下面就是见证奇迹的时刻（好古老的梗）：

在某个全局地方调用这个就好了，你不需要再手动输出token了（当然你要用cookie插件）！注意这里的XSRF而不是CSRF了。