Laravel, одна из самых популярных платформ PHP, имеет встроенные меры безопасности для защиты ваших веб-приложений от атак с подделкой межсайтовых запросов (CSRF). Токены CSRF являются важной частью системы безопасности Laravel, но могут возникнуть ситуации, когда вам потребуется временно или навсегда отключить защиту CSRF. В этой статье мы рассмотрим несколько способов отключения токена CSRF в Laravel, предоставив вам практические примеры и разговорные объяснения.

Метод 1: исключение маршрутов из защиты CSRF
Один из способов отключить защиту CSRF для определенных маршрутов — исключить их из промежуточного программного обеспечения CSRF. Давайте рассмотрим пример, в котором вы хотите исключить маршрут /api/post:

// app/Http/Middleware/VerifyCsrfToken.php
protected $except = [
    '/api/post',
];

При такой конфигурации запросы к /api/postбудут обходить защиту CSRF.

Метод 2: глобальное отключение промежуточного программного обеспечения CSRF
Если вы хотите отключить защиту CSRF для всех маршрутов в вашем приложении, вы можете изменить промежуточное программное обеспечение VerifyCsrfToken. Откройте файл app/Http/Middleware/VerifyCsrfToken.phpи закомментируйте метод handle:

// app/Http/Middleware/VerifyCsrfToken.php
// public function handle($request, $next)
// {
//     return parent::handle($request, $next);
// }

Комментируя метод handle, вы фактически отключаете промежуточное ПО CSRF для всех маршрутов.

Метод 3: использование специального промежуточного программного обеспечения для обхода защиты CSRF.
Другой подход заключается в создании специального промежуточного программного обеспечения, которое выборочно обходит защиту CSRF. Вот пример того, как этого можно добиться:

// app/Http/Middleware/DisableCsrfProtection.php
namespace App\Http\Middleware;
use Closure;
class DisableCsrfProtection
{
    public function handle($request, Closure $next)
    {
        $request->attributes->add([
            'csrf_protection_disabled' => true,
        ]);
        return $next($request);
    }
}

Чтобы использовать это промежуточное программное обеспечение, добавьте его в свой маршрут или группу маршрутов:

Route::middleware(['disablecsrf'])->group(function () {
    // Routes without CSRF protection
});

Метод 4: переопределение класса CSRFVerifier
Laravel использует класс CSRFVerifierдля защиты CSRF. Расширяя этот класс, вы можете переопределить его поведение. Вот пример:

// app/Http/Middleware/CustomCsrfVerifier.php
namespace App\Http\Middleware;
use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier;
class CustomCsrfVerifier extends BaseVerifier
{
    protected function tokensMatch($request)
    {
        // Add your custom logic to bypass CSRF protection if required
        return true;
    }
}

Затем обновите промежуточное программное обеспечение VerifyCsrfToken, чтобы использовать собственный верификатор:

// app/Http/Middleware/VerifyCsrfToken.php
protected $addHttpCookie = true;
protected $except = [
    //
];
protected function getVerifier()
{
    return app(CustomCsrfVerifier::class);
}

Отключение защиты токенов CSRF в Laravel следует выполнять с осторожностью, поскольку это потенциально может подвергнуть ваше приложение риску безопасности. Однако бывают ситуации, когда может потребоваться временный обход защиты CSRF. В этой статье мы рассмотрели несколько методов отключения токена CSRF в Laravel, включая исключение маршрутов из защиты CSRF, глобальное отключение промежуточного программного обеспечения CSRF, использование специального промежуточного программного обеспечения и переопределение класса CSRFVerifier. Не забудьте повторно включить защиту CSRF, когда в обеспечении безопасности вашего приложения больше нет необходимости.