У меня есть приложение SPA, в котором я пытаюсь реализовать защиту CSRF от Sanctum.
Из документов:
Для аутентификации вашего SPA страница входа вашего SPA должна сначала сделать запрос к конечной точке / sanctum / csrf-cookie для инициализации защиты CSRF для приложения.
Прямо сейчас я запрашиваю токен CSRF, прежде чем войти в систему
axios.get('/sanctum/csrf-cookie').then(response => {
// Login...
});
Должен ли я запрашивать токен CSRF перед выполнением ЛЮБОГО почтового запроса в моем приложении? Если да, мне в основном нужно запросить токен CSRF перед маршрутами, такими как POST api/password_reset
, POST api/tracking
, POST api/register
и т. Д.
Или есть способ указать Laravel Sanctum возвращать только 419
CSRF token mismatch
ошибок для защищенных маршрутов, т.е. маршруты с auth:sanctum
промежуточным ПО?
ИЗМЕНИТЬ:
Просто хотел прояснить, что у меня нет проблем с реализацией CSRF в целом. Он отлично работает после того, как я запросил токен CSRF. Axios будет добавлять токен во все последующие запросы. Мой вопрос действительно о том, когда делать первый запрос к токену CSRF.