laravel 负载均衡如何实现csrf防御?

发布于
2017-06-01

laravel默认开启csrf,使用的是csrf_token()生成一个随机字符串保存在浏览器和session文件中.然后根据浏览器返回的cookie来找到对应的session文件,获取其中的token进行对比.
但是问题是如果使用负载均衡,配置几台服务器,就无法通过保存在服务器上的session文件来获取token进行验证,多台服务器对应一个网站,如何使用laravel的csrf防御呢?是不是可以设置session文件共享来解决这个问题?如果是的话,nginx上应该如何设置呢?

php php-laravel

阅读 5.3k

2 个回答

得票最新

gclove

1.4k85067

发布于
2017-06-01

✓ 已被采纳

这和 nginx 没有什么关系, 你需要的是修改 Session Driver


    /*
    |--------------------------------------------------------------------------
    | Default Session Driver
    |--------------------------------------------------------------------------
    |
    | This option controls the default session "driver" that will be used on
    | requests. By default, we will use the lightweight native driver but
    | you may specify any of the other wonderful drivers provided here.
    |
    | Supported: "file", "cookie", "database", "apc",
    |            "memcached", "redis", "array"
    |
    */

    'driver' => env('SESSION_DRIVER', 'file');