XSRF-токен в Laravel

Question

Я реализую вход в систему laravel при запросе входа в систему генерируются два токена, один в теле, а другой в заголовке cook ie.

Когда я удаляю значение токена тела, отображается ошибка просроченной страницы но когда я удаляю значение xsrf-token, он не показывает никаких ошибок, и вход в систему выполняется успешно

POST /login HTTP/1.1
Host: <host>
Content-Length: 513
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: <Origin Address>
Content-Type: application/x-www-form-urlencoded
User-Agent:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Cookie: XSRF-TOKEN=<token>; laravel_session=<session token>
Connection: close

_token=<token>&userName=<userName>&password=<Password>

Кто-нибудь, помогите мне объяснить этот токен. и почему страница не истекает при удалении значения xsrf-token с помощью инструмента burpusite.

Answer 1

как указано в laravel документе :

Laravel упрощает защиту вашего приложения от атак с подделкой межсайтовых запросов (CSRF). Подделка межсайтовых запросов - это тип вредоносного эксплойта, при котором неавторизованные команды выполняются от имени аутентифицированного пользователя.

также:

Laravel хранит текущий CSRF токен в зашифрованном виде XSRF-TOKEN cook ie, который включается в каждый ответ, генерируемый платформой. Вы можете использовать значение cook ie, чтобы установить заголовок запроса X-XSRF-TOKEN. Этот повар ie в первую очередь отправляется для удобства, поскольку некоторые фреймворки и библиотеки JavaScript, такие как Angular и Ax ios, автоматически помещают его значение в заголовок X-XSRF-TOKEN при запросах с одним и тем же источником.