2.1 什么是CSRF攻击?

CSRF 跨站请求伪造攻击

2.2 laravel是如何放置CSRF攻击的?

Laravel框架中避免CSRF攻击很简单:Laravel自动为每个用户Session生成了一个CSRF Token,该Token可用于验证登录用户和发起请求者是否是同一人,如果不是则请求失败。【该原理和验证码的原理是一致】
针对POST请求需要处理
Laravel提供了一个全局帮助函数csrf_token来获取该Token值,因此只需在视图提交表单中添加如下HTML代码即可在请求中带上Token :

2.2 从CSRF验证中排除例外路由(不推荐)?

并不是所有请求都需要避免CSRF攻击,比如去第三方API获取数据的请求。
可以通过在VerifyCsrfToken ( app/Http/Middleware/VerifyCsrfToken.php )中间件中将要排除的请求URL添加到$except属性数组中∶
2. CSRF攻击 - 图1
排除写法:

  1. protected $except = [
  2.         'index/action'
  3.     ];

说明∶如果这个操作不是刚需,则此功能不建议使用