标签：Laravel Middleware 中间件 cookie CSRF 移除 Cookie class

前言

本篇文章是一篇翻译文章，，英语好的同学可以直接观看原文

正文

自从3月25日，你一定被「我们更新了我们的隐私政策」的邮件，网页上却做着「请让我们和我们的合作伙伴追踪你」的服务。

针对这种滥用的行为，一些开发者决定追求一条更好的路，移除所有没用的cookie。比如，作者的网页就没有任何cookie，打开一个新网页也不会有。

作者鼓励所有开发者也这么做，清切如果使用的是Laravel框架，可以很方便的通过框架移除默认的cookies。

在我们开始之前，我想要指出一些很有必要的cookies，像CSRF，保证通过表单登录时的安全，不需要要求用户许可批准。

CSRF

如果你不需要组织CSRF攻击（不如你网页上没有form表单），你可以（或者应该）移除cookie。幸运的是Laravel允许你不用在代码上花大量时间。

CSRF的token被加到了中间件，如果移除了它，就移除了cookie。打开app/Http/Kernel.php，找到组中间件$middlewareGroups

要去掉（或者注释）的是web组中的\App\Http\Middleware\VerifyCsrfToken::class。去掉后，重启浏览器，打开控制台，cookie没了。

Session cookie

如果不在session中存储数据或者有个无状态的应用（像JWT），cookie就是没用的。

和CSRF的token类似，要做的就是移除掉web组中一些中间件，就可移除掉session的cookie。

移除两个session响应的中间件：

\Illuminate\Session\Middleware\StartSession::class,
\Illuminate\View\Middleware\ShareErrorsFromSession::class,

最后的技巧

你可能已经了解，但是中间件组还要移除两个就可以完全地移除掉cookie。

\App\Http\Middleware\EncryptCookies::class,
\Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,

现在就已经成功地从Laravel中移除掉所有的cookie，可以无cookie的浏览的网页了。

我很确定有其他的方式达到相同的效果，好坏难说。这是我为我网站做的，并且很有效,这是行业中比较重要的事情。无论代码写的多好，总有更好的解决方案。

如果你有不同或者另一种实现方式，让作者（和翻译作者）知道！感激不尽。

标签：Laravel,Middleware,中间件,cookie,CSRF,移除,Cookie,class
来源： https://www.cnblogs.com/luyuqiang/p/14990960.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。