laravel6 CSRF的一个bug,顶级域名可以通过,二级域名无法通过

godzhao1992 创建于4年前, 最后更新于 4年前    版本号 #1    2057 views    0 likes    0 collects

通过 AJAX 请求

meta name="csrf-token" content="{{ csrf_token() }}"

$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });

voMiZ54rtj.png

gSIVWsMEpD.png

顶级域名可以正常通过,但是 www 域名被 CSRF 拦截

点赞 取消点赞 收藏 取消收藏

<< 上一篇: 新问题

>> 下一篇: JWT TOKEN刷新问题

1 条评论
#1    学院君   学院君 评论于 3年前

cookie 的作用域调整为 *.helloyuan.com,默认是在当前域名下有效,如果在 helloyuan.com 下生成,到 www.helloyuan.com 就算是跨域了,获取不到

登录后即可添加评论