質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

1回答

4014閲覧

【laravel5.7】外部サイトからのPOSTの為にcsrfを無効にしたい

testesjt

総合スコア12

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

POST

POSTはHTTPプロトコルのリクエストメソッドです。ファイルをアップロードしたときや入力フォームが送信されたときなど、クライアントがデータをサーバに送る際に利用されます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

2クリップ

投稿2019/03/30 11:19

前提・実現したいこと

外部のシステムからのCallBack(同期通信)の受信の為に、特定のドメインからのPOSTを受けたいのですが、
外部からのPOSTにはcsrfがない為、419エラーになってしまいます。

指定したURL文字列を含むもののみをcsrfの対象外にするいい方法はないでしょうか

よろしくお願い致します。

試したこと

class VerifyCsrfToken extends Middleware に
protected $except = [
'https://xx.xx.co.jp*',
];
を追加したのですが、やはり419エラーになります。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

xenbeat

2019/03/30 13:13

cache系全部クリアしても変化ないっすかね?
guest

回答1

0

ベストアンサー

$exceptの指定方法が違う。Laravel側のURLで指定。

protected $except = [ 'api/post/*', ];

https://readouble.com/laravel/5.8/ja/csrf.html#csrf-excluding-uris

投稿2019/03/30 13:42

kawax

総合スコア10377

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

mikkame

2019/04/08 20:33 編集

ちょっと調べてきたんですけど URIでの記述でも間違っていないようで(あくまで、アクセス元のドメインではなく、アクセス先のドメインという意味で) この機能はおそらく5.5から実装されているようです。 なぜURIでかけるかといえば、Laravelはドメイン名でルーティングを書き分ける事ができるので、特定のドメインへの特定のパスのみcsrfを許可してあげたいケースがあるからかと思います。(api.example.com/post は許可みたいな、まあそれだったら別の方法でできるんですが) > なぜ動かなかったか といえばhttps://xx.xx.co.jp*を https://xx.xx.co.jp/* にすれば動くのではないでしょうか。 また、このマッチの判定はStr::isで行われているようです。
testesjt

2019/04/10 19:34

すみません、ずっとアクセス元のURIを入れていました。 Laravelの受け側URIを入れたら問題なく動きました。 また*はどこでも使えました。 例)https://hogehoge.com/fol/rcv であれば、 h*tps:*/ho*hoge.c*m/fol*r*v のような記述でも動きました。 有難うございました。大変助かりました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問