Как отправить CSRF token () внутри формы AngularJS с помощью Laravel API?

Question

Как отправить CSRF token () внутри формы AngularJS с помощью Laravel API?

Я пытаюсь построить приложение angular + laravel rest. Я могу получить представление моей базы данных. Когда я пытаюсь добавить новые элементы. Я получаю 500 error говоря мне несоответствие токена csrf. Мой макет формы :

<form class="form-horizontal" ng-submit="addItem()">

  <input type="text" ng-model="itemEntry" placeholder="Type and hit Enter to add item">
</form>

вот как я пытаюсь добавить элемент в базу данных:

$scope.addItem = function(CSRF_TOKEN) {
    $http.post('/shop', { text: $scope.itemEntry, csrf_token: CSRF_TOKEN} ).success(function(data, status) {
        if(data) {
            var last = _.last($scope.items);
            _token = CSRF_TOKEN;
            $scope.items.push({text: $scope.itemEntry, bought: false, id: (last.id + 1) });
            $scope.itemEntry = '';
            console.log($scope.items);
        } else {
            console.log('There was a problem. Status: ' + status + '; Data: ' + data);
        }
    }).error(function(data, status) {
            console.log('status: ' + status);
        });

}

вот мой фильтр, который я использую для моего приложения:

Route::filter('csrf', function()
{
    if (Session::token() != Input::get('_token'))
    {
        throw new IlluminateSessionTokenMismatchException;
    }
});

в моих представлениях лезвия я использую это, и это работает:

<input type="hidden" name="_token" value="{{ csrf_token() }}" />

как я могу отправить csrf_token при использовании html форм?

спасибо

изменить 1 : Добавление заголовка в post-запрос, как это не дает ошибок.

  $http({
    method  : 'POST',
    url     : '/shop',
    data    :  $scope.itemEntry,  // pass in data as strings
    headers : { 'Content-Type': 'application/x-www-form-urlencoded' }   
  });

20

angularjs csrf-protection laravel

автор: ytsejam

4 ответов

автор: Rubens Mariuzzo · Accepted Answer · 2013-08-20 15:09:24

опция будет вводить токен CSRF в качестве константы. Добавьте в тег head следующее:

<script>
  angular.module("app").constant("CSRF_TOKEN", '{{ csrf_token() }}');
</script>

после этого в ваших методах модуля его можно впрыснуть когда нужно.

app.factory("FooService", function($http, CSRF_TOKEN) {
    console.log(CSRF_TOKEN);
};

возможно, Вам будет интересно заглянуть в исходный код этого пример проекта Laravel + AngularJS.

автор: Gravy · Accepted Answer · 2015-05-07 10:19:14

принято решение по Mariuzzo Рубенс работает, однако я думаю, что я нашел альтернативное решение, которое я думаю, лучше.

таким образом, вам не нужно передавать данные из HTML-скрипта в приложение angularjs, и есть лучшее разделение проблем. Например. Это позволяет вам иметь приложение Laravel как просто API.

мое решение включает в себя получение токена CSRF через запрос api и установку этого значения в качестве константы.

далее, вместо того, чтобы вводить токен CSRF при необходимости, вы устанавливаете токен в заголовке по умолчанию, который будет проверяться сервером при любом http-запросе API.

пример показывает laravel, однако любая серьезная структура должна быть в состоянии предложить что-то подобное.

маршрут CSRF в ЛАРАВЕЛЕ:

// Returns the csrf token for the current visitor's session.
Route::get('api/csrf', function() {
    return Session::token();
});

защита маршрутов с помощью before => 'api.csrf' фильтр

// Before making the declared routes available, run them through the api.csrf filter
Route::group(array('prefix' => 'api/v1', 'before' => 'api.csrf'), function() {
Route::resource('test1', 'Api\V1\Test1Controller');
Route::resource('test2', 'Api\V1\Test2Controller');
});

на api.csrf фильтр

// If the session token is not the same as the the request header X-Csrf-Token, then return a 400 error.
Route::filter('api.csrf', function($route, $request)
{
if (Session::token() != $request->header('X-Csrf-Token') )
{
    return Response::json('CSRF does not match', 400);
}
});

в в AngularJS вещи поставить это в приложение.js:

Блокирование Версии:

var xhReq = new XMLHttpRequest();
xhReq.open("GET", "//" + window.location.hostname + "/api/csrf", false);
xhReq.send(null);

app.constant("CSRF_TOKEN", xhReq.responseText);

app.run(['$http', 'CSRF_TOKEN', function($http, CSRF_TOKEN) {    
    $http.defaults.headers.common['X-Csrf-Token'] = CSRF_TOKEN;
}]);

Неблокирующая Версия

var xhReq = new XMLHttpRequest();
xhReq.open("GET", "//" + window.location.hostname + "/api/csrf", true);

xhReq.onload = function(e) {
  if (xhReq.readyState === 4) {
    if (xhReq.status === 200) {
      app.constant("CSRF_TOKEN", xhReq.responseText);

      app.run(['$http', 'CSRF_TOKEN', function($http, CSRF_TOKEN) {
        $http.defaults.headers.common['X-Csrf-Token'] = CSRF_TOKEN;
      }]);
    }
  }
};

xhReq.send(null);

теперь константа CSRF_TOKEN вводится как заголовок во всех http-запросах из приложения AngularJS, и все маршруты API защищены.

автор: Modder · Accepted Answer · 2015-06-17 12:54:02

Если вы используете Laravel 5,Не нужно чтобы добавить токен CSRF в угловые HTTP-заголовки.

Laravel 5 с угловым сделать это автоматически для вас.

http://laravel.com/docs/5.1/routing#csrf-x-xsrf-token

автор: MURATSPLAT · Accepted Answer · 2015-01-17 11:38:30

Я думаю, что мое решение меньше боли и гораздо более гибким, особенно он думает, тестирование вашего приложения на карме.

Сначала добавьте этот код в свой мастер-вид

 <meta name="csrf-token" content="{{ csrf_token() }}">

мы сохранили токен csrf в html-контент без добавления маршрута.

теперь мы защищаем все запросы приложения AngularJs токеном CSRF

/**
 * 
 * when it thinks testing your app unit test with Karma,
 * this solution was better than getting token via AJAX.
 * Because low-level Ajax request correctly doesn't work on Karma
 * 
 * Helper idea to me :
 * http://stackoverflow.com/questions/14734243/rails-csrf-protection-angular-js-protect-from-forgery-makes-me-to-log-out-on/15761835#15761835 
 * 
 */
var csrftoken =  (function() {
    // not need Jquery for doing that
    var metas = window.document.getElementsByTagName('meta');

    // finding one has csrf token 
    for(var i=0 ; i < metas.length ; i++) {

        if ( metas[i].name === "csrf-token") {

            return  metas[i].content;       
        }
    }  

})();

// adding constant into our app

yourAngularApp.constant('CSRF_TOKEN', csrftoken);

нам нужно настроить HTTP-заголовки по умолчанию для Angular. Давайте добавим наш токен csrf в заголовки Angular

/*
 * App Configs
 */
blog.config(['$httpProvider', 'CSRF_TOKEN',

  function($httpProvider, CSRF_TOKEN) {


    /**
     * adds CSRF token to header
     */
    $httpProvider.defaults.headers.common['X-CSRF-TOKEN'] = CSRF_TOKEN;

 }]);

наконец нам нужен новый фильтр для этих изменений на стороне laravel..

Route::filter('csrfInHeader', function($route, $request) {

    if (Session::token() !== (string) $request->header('X-CSRF-TOKEN') ) {

        throw new Illuminate\Session\TokenMismatchException;

    }
});

фильтр"csrfInHeader" проверит весь http-запрос по угловому приложению. Вам не нужно добавлять токен csrf к каждому запросу. Кроме того, если вы протестируете свое приложение по Karma, вы не будете пытаться получить токен csrf при тестировании..