laravel中 URL 不做 CSRF 安全校验的两种方法

任何时候在 Laravel 应用中定义 HTML 表单，都需要在表单中引入 CSRF 令牌字段，这样 CSRF 保护中间件才能够对请求进行验证。要想生成包含 CSRF 令牌的隐藏输入字段，可以使用辅助函数 csrf_field：

如：

<form method="POST" action="/profile">
    {{ csrf_field() }}
    ...
</form>

中间件组 web 中的中间件 VerifyCsrfToken 会自动为我们验证请求输入的 token 值和 Session 中存储的 token 是否一致，如果没有传递该字段或者传递过来的字段值和 Session 中存储的数值不一致，则会抛出异常。

如果想要在定义的路由不需要做CSRF认证有以下两种方式：

1.将路由定义在routes/api.php文件中。CSRF 中间件只作用于 routes/web.php 中定义的路由，因为该文件下的路由分配了 web 中间件组，而 VerifyCsrfToken 位于 web 中间件组中。所以在routes/api.php定义的路由不受此限制。

2.在 VerifyCsrfToken 中间件中（文件位置：app/Http/Middleware/VerifyCsrfToken.php）将要排除的 URL 添加到 $except 属性数组中。

<?php

namespace App\Http\Middleware;

use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as Middleware;

class VerifyCsrfToken extends Middleware
{
    /**
     * The URIs that should be excluded from CSRF verification.
     *
     * @var array
     */
    protected $except = [
        //这里填入web.php中定义的路由名称
    ];
}

以上两种方式可以使路由不需要经过CSRF验证。