laravel是一款流行的php框架，已经成为了专业开发者和初学者们备受青睐的选择。laravel框架实现了csrf保护，是为了防止跨站请求伪造攻击。然而，在某些情况下，有时候需要去掉csrf保护，本文将带你了解在laravel中去掉csrf保护的方法。

什么是CSRF保护
跨站请求伪造，英文缩写为CSRF，是一种常见的Web攻击。攻击者利用受害人在登录状态下的身份，伪造请求，达到恶意操作的目的。为了防止这种攻击，Laravel实现了CSRF保护功能，可以很好的保护Web应用程序。
Laravel中CSRF保护的实现
Laravel中实现CSRF保护，主要是通过以下三个步骤：
2.1. 生成CSRF token
在HTML表单中添加csrf_field指令，这个指令会自动生成CSRF token，并添加到表单隐藏域中。

@csrf

登录后复制2.2. 验证CSRF token在后端，Laravel会验证请求的CSRF token是否合法。如果不合法，将返回一个错误信息。在Laravel 5.6及以后的版本中，默认添加了CSRF保护中间件，所有Post请求都会进行CSRF验证。如果您的请求没有正确携带CSRF token，将得到下面的错误信息：TokenMismatchException in VerifyCsrfToken.php line 68:登录后复制2.3. 跨站脚本攻击防护为了防止跨站脚本攻击，您应该遵循'转义输出'的原则，不要直接输出用户提供的数据，而应该对其进行处理后再输出。例如，使用htmlentities或htmlspecialchars函数将HTML特殊字符进行转义。以上就是Laravel中实现CSRF保护的方法。下面我们将介绍如何去掉这种保护。如何去掉Laravel中的CSRF保护如果您的Web应用程序中，不需要进行CSRF保护，您也可以去掉Laravel中的CSRF保护。下面我们将介绍两种去掉CSRF保护的方法。3.1. 关闭CSRF保护中间件默认情况下，Laravel所有的Post请求都会进行CSRF验证。如果您想要去掉这种验证，可以将CSRF保护中间件从Middleware中去掉。具体方法如下：打开app/Http/Kernel.php文件，在$middlewareGroups数组中，找到web中间件组，将['IlluminateFoundationHttpMiddlewareVerifyCsrfToken']这个中间件从该数组中删除即可。protected $middlewareGroups = [
'web' => [
AppHttpMiddlewareEncryptCookies::class,
// IlluminateSessionMiddlewareAuthenticateSession::class,
// IlluminateRoutingMiddlewareSubstituteBindings::class,
// IlluminateFoundationHttpMiddlewareVerifyCsrfToken::class,
],

'api' => [
    'throttle:60,1',
    'auth:api',
],

];登录后复制此时，所有的Post请求都不会进行CSRF保护验证。虽然可以去掉CSRF保护，但这也代表着一定的安全风险。因此建议只在严格的测试环境下开启。3.2. 手动忽略CSRF保护如果在全局范围内关闭CSRF保护中间件，您可以在特定的路由或控制器中手动忽略CSRF保护验证。具体方法如下：在需要放行的路由或控制器方法中，使用withoutMiddleware方法:Route::post('route', function () {
//
})->withoutMiddleware([IlluminateFoundationHttpMiddlewareVerifyCsrfToken::class]);登录后复制这种方法可以在某些特殊情况下使用，但是不建议在所有的路由都采用此方法。
综上所述，Laravel中实现CSRF保护是一个很好的安全措施，在不必要的情况下，不建议去掉CSRF保护。如有需要，可以通过以上方法去掉CSRF保护。当然，在实际项目开发中，请根据实际情况谨慎使用。以上就是laravel 去掉csrf的详细内容，更多请关注php中文网其它相关文章！