laravel6 CSRF的一个bug,顶级域名可以通过,二级域名无法通过

Created 4 years ago by godzhao1992, Updated 4 years ago    Revision #1    1560 views    0 likes    0 collects

通过 AJAX 请求

meta name="csrf-token" content="{{ csrf_token() }}"

$.ajaxSetup({ headers: { 'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content') } });

voMiZ54rtj.png

gSIVWsMEpD.png

顶级域名可以正常通过,但是 www 域名被 CSRF 拦截

Vote Vote Cancel Collect Collect Cancel

<< 上一篇: 新问题

>> 下一篇: JWT TOKEN刷新问题

1 Comment
#1    学院君   学院君 commented 4 years ago

cookie 的作用域调整为 *.helloyuan.com,默认是在当前域名下有效,如果在 helloyuan.com 下生成,到 www.helloyuan.com 就算是跨域了,获取不到

登录后即可添加评论