AS
как с этим бороться кроме исключений? ))
Size: a a a
2021 December 09
AK
Отправлять на /api вроде -- батьки сказали.
AK
Там под капотом вроде кстати Guzzle.
AS
т.е. типа есть защита, но чтобы все работало - ее надо вырубить?))
AK
Ну апи без защиты же, она там по идее не требуется.
AA
Где-то смахнул слезу злобный хакер. ((%
P
Csrf и должен обновляться после запроса
P
Иначе в нем и смысла нет
AK
А чего? Если я просто хочу выдачу в json, зачем мне токен.
P
Можно и без токена
AS
Выглядит как притянутая за уши фигня :)
AS
Ну смотри, вот я замутил роут для авторизации, куда шлю постом юзернейм и пароль. Я не хочу, чтобы эту форму бомбили извне. Суну туда csrf. Но и сам не могу до этой формы достучаться, если в аякс-скрипте захочу эти данные прокинуть с помощью встроенного клиента http, потому что нихрена уже токен не подходит
P
возвращай новый токен в json
AK
Не понял, а в чём секьюрность?)
AS
Так я туда дойти не могу, на этапе проверки старого токена в миддлваре он уже не подходит и дальше не пускает
АП
Csrf в том виде как он есть в эво он нахер не нужон
P
должно быть так - генерируешь токен, вставляешь в форму, отправляешь форму, получаешь результат и новый токен
AS
Тоесть напрямую я могу заслать пост на это адрес аяксом, а из пхп уже не могу достучаться, если буду обращаться через встроенный в лару HTTP::get/post
AS
Так не доходят данные до нового токена, потому что старый уже не существует ))
AS
При этом сайтовый токен остается все время одинаковым, а тот что прилетает при запросе к роуту через клиент - все время разный