Laravel 作为移动 app 的服务器端，csrf 验证是必要的吗

laravel为了方式浏览器的伪造请求，csrf攻击，会对每个应用下的页面生成一个csrf_token的令牌表单，用户每次请求的时候会带上这个令牌去和服务器的session的令牌做对比。判断本次请求和生成token的是否是同一个人。生成csrf令牌隐藏表单//这行代码生成了一个标准的隐藏表单值为token">获取tokenechocsrf_token();我们不需要手动写验证csrf请求的，因为laravel默认把每个路由都继承了一个HTTP中间件VerifyCsrfToken会为我们做这项工作，将请求中输入的token值和session中的存储的作对比。例外排除url不进行csrf的验证某些时候我们不得已的要使用第三方的请求，这时候就需要将这些网址加入到csrf的例外请求里面，我们只需要到中间件VerifyCsrfToken里面把请求的地址加入到$except属性里面即可。

Laravel 作为移动 app 的服务器端，csrf 验证是必要的吗

Laravel 作为移动 app 的服务器端，csrf 验证是必要的吗

1回答