Как сделать csrf защиту для api запросов?

Question

[mixejuxix]

Привет, подскажите, а как сделать защиту от csrf для API маршрутов?

У меня на фронте крутится SPA приложение на nuxt, с авторизацией через api Route::group(['middleware' => 'auth:api'])

Для админа все понятно - при авторизации по логину и паролю он получает api_token, который я сохраняю в сессию

Но как быть есть я хочу сделать форму, которую должен заполнять гость, вообще без авторизации? Как сделать защиту от csrf?
Я должен сделать какой то ajax запрос что бы получить csrf токен или как?

Comments

[JhaoDa]

Никак, csrf не про API.

[mixejuxix]

JhaoDa, Но ведь тогда кто угодно сможет спамить в форму?

[JhaoDa]

mixejuxix, для этого надо использовать что-то другое, а не csrf.

[Adamos]

я хочу сделать форму, которую должен заполнять гость, вообще без авторизации

кто угодно сможет спамить в форму

Вы пытаетесь решить задачу о пятиугольном треугольнике.
Реально же вам нужно просто отсеять нежелательные запросы.
Очевидно - по их содержимому, поскольку никакой другой информации у вас нет.

Answer 1

[Константин Б.]

CSRF тут не при чем. Он сделан не антиспама ради
Антиспам - надеюсь вы выделили это слово выше.

Answer 2

[Andrey Suha]

Может пропускать кросдоменные запросы только с того домена на котором фронт крутится? Если не подходит то сделать такой посредник только для маршрута формы

Comments

[Alex Wells]

И чем это поможет? Любые веб защиты работают только на добром слове браузеров. Если отправлять запросы вручную, из какого-нибудь скриптика, то в заголовках можно написать что угодно.