まず、LaravelではデフォルトでCSRFトークンが生成されます。このトークンは、フォームやAJAXリクエストなどのリクエストに含まれる必要があります。トークンは、フォームのhiddenフィールドまたはヘッダーに含めることができます。
フォームにCSRFトークンを含めるには、Bladeテンプレートエンジンを使用します。以下は、フォーム内でCSRFトークンを利用する例です。
<form method="POST" action="/process">
@csrf
<!-- その他のフォームフィールド -->
<button type="submit">送信</button>
</form>@csrfディレクティブは、CSRFトークンを自動的に生成し、フォームに含めます。これにより、Laravelはリクエストの妥当性を検証し、適切なトークンが提供されない場合はエラーを返します。
もしAJAXリクエストを行う場合は、CSRFトークンをヘッダーに含める必要があります。以下は、jQueryを使用したAJAXリクエストの例です。
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
$.ajax({
url: '/process',
type: 'POST',
data: { /* リクエストデータ */ },
success: function(response) {
// 成功時の処理
}
});この例では、X-CSRF-TOKENヘッダーにCSRFトークンを含めるために、$.ajaxSetup()メソッドを使用しています。CSRFトークンは、メタタグ <meta name="csrf-token" content="トークン値"> を含んだページから取得されます。
Laravelでは、CSRFトークンの生成と検証を自動的に処理するため、通常は開発者が手動でトークンを取得する必要はありません。ただし、カスタムAJAXリクエストを行う場合など、手動でトークンを取得する必要がある場合もあります。以下は、LaravelでCSRFトークンを取得する例です。
var token = document.querySelector('meta[name="csrf-token"]').getAttribute('content');これで、LaravelでのCSRFトークンの取得と保護方法についての基本的な理解が得られたはずです。これにより、Webアプリケーションのセキュリティを向上させ、CSRF攻撃から保護することができます。