Laravel csrf令牌与ajax POST请求不匹配

时间:2015-09-23 11:48:00

标签: php jquery ajax laravel

我正在尝试通过ajax从数据库中删除数据。

HTML:

@foreach($a as $lis)
  //some code
  <a href="#" class="delteadd" id="{{$lis['id']}}">Delete</a>
  //click action perform on this link                  
@endforeach

我的ajax代码:

$('body').on('click', '.delteadd', function (e) {
e.preventDefault();
//alert('am i here');
if (confirm('Are you sure you want to Delete Ad ?')) {
    var id = $(this).attr('id');
    $.ajax({
        method: "POST",
        url: "{{url()}}/delteadd",
        }).done(function( msg ) {
        if(msg.error == 0){
            //$('.sucess-status-update').html(msg.message);
            alert(msg.message);
        }else{
            alert(msg.message);
            //$('.error-favourite-message').html(msg.message);
        }
    });
} else {
    return false;
}
});

这是我从数据库中获取数据的查询...

$a = Test::with('hitsCount')->where('userid', $id)->get()->toArray();

但是当我点击删除未删除的链接数据并显示csrf_token不匹配时...

19 个答案:

答案 0 :(得分:101)

您必须在ajax请求中添加数据。我希望它会起作用。

data: {
        "_token": "{{ csrf_token() }}",
        "id": id
        }

答案 1 :(得分:101)

解决此问题的最佳方法&#34; X-CSRF-TOKEN&#34;是将以下代码添加到主布局中,并继续正常进行ajax调用:

标题

<meta name="csrf-token" content="{{ csrf_token() }}" />

在剧本中

<script type="text/javascript">
$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});
</script>

答案 2 :(得分:24)

我认为最好将令牌放在表单中,并通过id

获取此令牌
<input type="hidden" name="_token" id="token" value="{{ csrf_token() }}">

和JQUery:

var data = {
        "_token": $('#token').val()
    };
通过这种方式,您的JS不需要在您的刀片文件中。

答案 3 :(得分:12)

我刚刚在ajax调用中添加了headers:

  headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')},

在视图中:

<div id = 'msg'>
     This message will be replaced using Ajax. Click the button to replace the message.
</div>

{{ Form::submit('Change', array('id' => 'ajax')) }}

ajax功能:

<script>
 $(document).ready(function() {
    $(document).on('click', '#ajax', function () {
      $.ajax({
         type:'POST',
         url:'/ajax',
         headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')},
         success:function(data){
            $("#msg").html(data.msg);
         }
      });
    });
});
</script>
控制器中的

public function call(){
    $msg = "This is a simple message.";
    return response()->json(array('msg'=> $msg), 200);
}
在routes.php中

Route::post('ajax', 'AjaxController@call');

答案 4 :(得分:9)

如果您使用的是模板文件,那么您可以将meta标记放在包含section标记的标题meta(或其他任何名称)中。

@section('head')
<meta name="csrf_token" content="{{ csrf_token() }}" />
@endsection

接下来,您需要将headers属性添加到ajax(在我的示例中,我使用datatable进行服务器端处理:

"headers": {'X-CSRF-TOKEN': $('meta[name="csrf_token"]').attr('content')}

以下是完整的datatable ajax示例:

$('#datatable_users').DataTable({
        "responsive": true,
        "serverSide": true,
        "processing": true,
        "paging": true,
        "searching": { "regex": true },
        "lengthMenu": [ [10, 25, 50, 100, -1], [10, 25, 50, 100, "All"] ],
        "pageLength": 10,
        "ajax": {
            "type": "POST",
            "headers": {'X-CSRF-TOKEN': $('meta[name="csrf_token"]').attr('content')},
            "url": "/getUsers",
            "dataType": "json",
            "contentType": 'application/json; charset=utf-8',
            "data": function (data) {
                console.log(data);
            },
            "complete": function(response) {
                console.log(response);
           }
        }
    });

执行此操作后,您应该200 status获取ajax请求。

答案 5 :(得分:3)

向保存令牌的id元素添加meta

<meta name="csrf-token" id="csrf-token" content="{{ csrf_token() }}">

然后您可以在Javascript中获取它

$.ajax({
  url : "your_url",
  method:"post",
  data : {
    "_token": $('#csrf-token')[0].content  //pass the CSRF_TOKEN()
  },  
  ...
});

答案 6 :(得分:2)

如果您使用jQuery发送AJAX帖子,请将此代码添加到所有视图中:

$( document ).on( 'ajaxSend', addLaravelCSRF );

function addLaravelCSRF( event, jqxhr, settings ) {
    jqxhr.setRequestHeader( 'X-XSRF-TOKEN', getCookie( 'XSRF-TOKEN' ) );
}

function getCookie(name) {
    function escape(s) { return s.replace(/([.*+?\^${}()|\[\]\/\\])/g, '\\$1'); };
    var match = document.cookie.match(RegExp('(?:^|;\\s*)' + escape(name) + '=([^;]*)'));
    return match ? match[1] : null;
}

Laravel为所有请求添加了一个XSRF cookie,我们会在提交之前自动将其附加到所有AJAX请求。

如果有其他函数或jQuery插件执行相同的操作,您可以替换getCookie函数。

答案 7 :(得分:2)

为方便起见,请注意有一个X-XSRF-TOKEN cookie。像Angular等框架和其他框架默认情况下进行设置。在文档https://laravel.com/docs/5.7/csrf#csrf-x-xsrf-token中进行检查 您可能想使用它。

最好的方法是使用元数据,以防止禁用cookie。

    var xsrfToken = decodeURIComponent(readCookie('XSRF-TOKEN'));
    if (xsrfToken) {
        $.ajaxSetup({
            headers: {
                'X-XSRF-TOKEN': xsrfToken
            }
        });
    } else console.error('....');

这里是推荐的meta方法(您可以以任何方式放置字段,但是meta很安静):

$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    }
});   

请注意decodeURIComponent()的使用,它是从uri格式解码的,用于存储cookie。 [否则,您将在laravel中收到无效的有效载荷异常]。

在此文档中有关csrf cookie的部分中进行检查: https://laravel.com/docs/5.7/csrf#csrf-x-csrf-token

这也是laravel(bootstrap.js)默认情况下如何将其设置为axios:

let token = document.head.querySelector('meta[name="csrf-token"]');

if (token) {
    window.axios.defaults.headers.common['X-CSRF-TOKEN'] = token.content;
} else {
    console.error('CSRF token not found: https://laravel.com/docs/csrf#csrf-x-csrf-token');
} 

您可以检查resources/js/bootstrap.js

这里读取cookie函数:

   function readCookie(name) {
        var nameEQ = name + "=";
        var ca = document.cookie.split(';');
        for (var i = 0; i < ca.length; i++) {
            var c = ca[i];
            while (c.charAt(0) == ' ') c = c.substring(1, c.length);
            if (c.indexOf(nameEQ) == 0) return c.substring(nameEQ.length, c.length);
       }
        return null;
    }

答案 8 :(得分:2)

谁在接受@Deepak saini的答案时遇到问题,请尝试删除

cache:false,
processData:false,
contentType:false,

用于ajax调用。

使用

dataType:"json",

答案 9 :(得分:1)

你必须在主文件中包含这一行

<meta name="csrf-token" content="{{ csrf_token() }}" />

在调用 ajax 时,你必须实现 csrf token ,

$.ajax({
url:url,
data:{
 _token:"{{ csrf_token() }}"
},
success:function(result){
 //success message after the controller is done..
}
})

答案 10 :(得分:1)

在新的 Laravel 中,您只需要在任何地方执行此操作即可。在 JS 或刀片文件中,您将拥有 csrf 令牌。

var csrf = document.querySelector('meta[name="csrf-token"]').content;

它是普通的 JS。对于 Ajax,您需要这样做。

var csrf = document.querySelector('meta[name="csrf-token"]').content;
    $.ajax({
        url: 'my-own-url',
        type: "POST",
        data: { 'value': value, '_token': csrf },
        success: function (response) {
            console.log(response);
        }
    });

答案 11 :(得分:1)

万一会话过期,您可以使用它再次登录

$(document).ajaxComplete(function(e, xhr, opt){
  if(xhr.status===419){
    if(xhr.responseJSON && xhr.responseJSON.message=='CSRF token mismatch.') window.location.reload();
  }
});

答案 12 :(得分:0)

我只在表单内使用@csrf并可以正常工作

答案 13 :(得分:0)

对于Laravel 5.8,如果您正在使用ajax提交已经包含生成的_token输入字段的表单,则在ajax设置中为布局设置csrf元标记和为csrf设置请求标头将不起作用由Laravel叶片模板引擎提供。

您必须在表单中将已经生成的csrf令牌包含在ajax请求中,因为服务器将期望它,而不是您的meta标记中的那个。

例如,这就是Blade生成的_token输入字段的样子:

<form>
    <input name="_token" type="hidden" value="cf54ty6y7yuuyyygytfggfd56667DfrSH8i">
    <input name="my_data" type="text" value="">
    <!-- other input fields -->
</form>

然后,您可以使用如下所示的ajax提交表单:

<script> 
    $(document).ready(function() { 
        let token = $('form').find('input[name="_token"]').val();
        let myData = $('form').find('input[name="my_data"]').val();
        $('form').submit(function() { 
            $.ajax({ 
                type:'POST', 
                url:'/ajax', 
                data: {_token: token, my_data: myData}
                // headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')}, // unnecessary 
                // other ajax settings
            }); 
            return false;
        }); 
    }); 
</script>

仅当您提交没有Blade生成的_token输入字段的表单时,meta标头中的csrf令牌才有用。

答案 14 :(得分:0)

我最近总是遇到这个错误。确保在引用值时使用更具体的选择器。例如代替 $('#firstname') 使用 $('form').find('#firstname');

答案 15 :(得分:0)

Laravel 5.8
在ajax url中使用csrf(单独的js文件)

$.ajax({
    url: "/addCart" + "?_token=" + productCSRF,
    type: "POST",
    ..
})

答案 16 :(得分:0)

您应该在表单中包含隐藏的CSRF(跨站点请求伪造)令牌字段,以便CSRF protection中间件可以验证请求。

Laravel为应用程序管理的每个活动用户会话自动生成CSRF“令牌”。此令牌用于验证经过身份验证的用户是否实际上是对应用程序的请求。

因此,在执行ajax请求时,您需要通过data参数传递 csrf令牌。这是示例代码。

var request = $.ajax({
    url : "http://localhost/some/action",
    method:"post",
    data : {"_token":"{{ csrf_token() }}"}  //pass the CSRF_TOKEN()
  });

答案 17 :(得分:0)

如果您正在处理 laravel 7.0 项目并遇到此错误

添加令牌作为要发送到控制器的参数的一部分将解决问题,就像上面给出的答案一样。这是因为 Laravel 保护您的站点免受跨站点攻击。这要求您在每次提交表单时生成一个唯一的令牌。

"_token": "{{ csrf_token() }}"

您现在可以拥有;

      const postFormData = {
            'name'     : $('input[name=name]').val(),
            "_token": "{{ csrf_token() }}"
        }; 
         
      $.ajax({
          url: 'pooling'
          , type: 'post'
          , data: postFormData
          , dataType: 'json'
          , success: function(response) { consolel.log(response) }
        });

答案 18 :(得分:0)

我实际上遇到了这个错误,无法找到解决方案。我实际上最终没有做ajax请求。我不知道这个问题是否是由于我的服务器上的子域或什么。这是我的jquery。

            $('#deleteMeal').click(function(event) {
                var theId = $(event.currentTarget).attr("data-mealId");
                  $(function() {
                    $( "#filler" ).dialog({
                      resizable: false,
                      height:140,
                      modal: true,
                      buttons: {
                      "Are you sure you want to delete this Meal? Doing so will also delete this meal from other users Saved Meals.": function() {
                           $('#deleteMealLink').click();
//                         jQuery.ajax({
//                              url : 'http://www.mealog.com/mealtrist/meals/delete/' + theId,
//                              type : 'POST',
//                              success : function( response ) {
//                                  $("#container").replaceWith("<h1 style='color:red'>Your Meal Has Been Deleted</h1>");
//                              }
//                          });
                        // similar behavior as clicking on a link
                           window.location.href = 'http://www.mealog.com/mealtrist/meals/delete/' + theId;
                          $( this ).dialog( "close" );
                        },
                        Cancel: function() {
                          $( this ).dialog( "close" );
                        }
                      }
                    });
                  });
                });

所以我实际上设置了一个锚来转到我的API,而不是做一个帖子请求,这是我大多数应用程序所做的。

  <p><a href="http://<?php echo $domain; ?>/mealtrist/meals/delete/{{ $meal->id }}" id="deleteMealLink" data-mealId="{{$meal->id}}" ></a></p>