必须排除 CSRF 验证的路由包括 API 接口、Webhook 回调、第三方系统主动 POST 入口(如 /api/webhook/stripe、/pay/notify、/admin/import),因其无法提供 csrf_token(),硬加验证将导致 419 错误;应在 VerifyCsrfToken 中间件的 $except 数组中配置,支持单层通配符(如 api/*),不支持正则;也可用 Route::withoutMiddleware() 临时绕过,但生产环境须慎用并注释原因;控制器内跳过无效,API 路由若被错误归入 web 组也需加入 $except。
哪些路由必须排除 CSRF 验证
API 接口、Webhook 回调、第三方系统主动 POST 的入口,这些场景下客户端无法提供 csrf_token(),硬加验证会导致 419 错误。典型如:/api/webhook/stripe、/pay/notify、/admin/import(由定时任务触发的表单提交)。注意:排除不等于“全部放开”,只针对明确不可控请求源的路由。
在 VerifyCsrfToken 中间件里配置 $except 数组
这是最常用也最安全的方式。修改 app/Http/Middleware/VerifyCsrfToken.php 文件中的 $except 属性:
protected $except = [
'api/*',
'pay/notify',
'webhook/*',
'admin/import'
];
路径支持通配符 *,但仅匹配单层路径段(api/* 匹配 api/users,不匹配 api/v1/users);若需多层,写成 api/*/* 或逐条列出。不要用正则——该数组只做前缀匹配,Laravel 内部调用的是 Str::is()。
用 Route::withoutMiddleware() 临时绕过
适合极个别动态生成的路由,或测试阶段快速跳过。例如:
Route::post('/debug/test', [DebugController::class, 'handle'])->withoutMiddleware([\App\Http\Middleware\VerifyCsrfToken::class]);
注意:不能用于带认证的后台操作路由;若该路由同时被其他中间件(如 auth:sanctum)保护,CSRF 绕过不会影响身份校验,但语义上已破坏防护边界。生产环境慎用,且必须加注释说明原因。
为什么不能在控制器方法里手动跳过
有人尝试在控制器构造函数中调用 $this->middleware('csrf')->except('store'),这无效——CSRF 中间件在路由调度前就已执行,控制器逻辑根本没机会运行。更危险的是用 @csrf 模板指令配合空 token 提交,服务端仍会校验 _token 字段是否存在及是否有效,空值直接报 419。真正可控的入口只有中间件配置和路由级声明。
别漏掉 API 路由组默认不启用 CSRF——前提是它们走的是 api 中间件组(即 app/Providers/RouteServiceProvider.php 中定义的 api 前缀),因为该组默认不包含 VerifyCsrfToken。但如果把某个 API 路由显式加到 web 组里,它就会被自动套上 CSRF 校验,这时就必须进 $except 名单。
