Q&A
cache系全部クリアしても変化ないっすかね?
前提・実現したいこと
外部のシステムからのCallBack(同期通信)の受信の為に、特定のドメインからのPOSTを受けたいのですが、
外部からのPOSTにはcsrfがない為、419エラーになってしまいます。
指定したURL文字列を含むもののみをcsrfの対象外にするいい方法はないでしょうか
よろしくお願い致します。
試したこと
class VerifyCsrfToken extends Middleware に
protected $except = [
'https://xx.xx.co.jp*',
];
を追加したのですが、やはり419エラーになります。
回答1件
0
ベストアンサー
$exceptの指定方法が違う。Laravel側のURLで指定。
protected $except = [ 'api/post/*', ];
https://readouble.com/laravel/5.8/ja/csrf.html#csrf-excluding-uris
投稿2019/03/30 13:42
退会済みユーザー
総合スコア0
有難うございます。動きました。
でも、
https://readouble.com/laravel/5.8/ja/csrf.html#csrf-excluding-uris
には、
protected $except = [
'stripe/*',
'http://example.com/foo/bar',
'http://example.com/foo/*',
];
と、URIでの記述も書いてありますが、なぜURIではダメだったのでしょうか?
ちょっと調べてきたんですけど
URIでの記述でも間違っていないようで(あくまで、アクセス元のドメインではなく、アクセス先のドメインという意味で)
この機能はおそらく5.5から実装されているようです。
なぜURIでかけるかといえば、Laravelはドメイン名でルーティングを書き分ける事ができるので、特定のドメインへの特定のパスのみcsrfを許可してあげたいケースがあるからかと思います。(api.example.com/post は許可みたいな、まあそれだったら別の方法でできるんですが)
> なぜ動かなかったか
といえばhttps://xx.xx.co.jp*を
https://xx.xx.co.jp/* にすれば動くのではないでしょうか。
また、このマッチの判定はStr::isで行われているようです。
すみません、ずっとアクセス元のURIを入れていました。
Laravelの受け側URIを入れたら問題なく動きました。
また*はどこでも使えました。
例)https://hogehoge.com/fol/rcv であれば、
h*tps:*/ho*hoge.c*m/fol*r*v のような記述でも動きました。
有難うございました。大変助かりました。
あなたの回答
tips
プレビュー
