Php Laravel中的XSRF令牌

我在laravel中根据登录请求实现登录。有两个令牌生成，一个在主体中，另一个在头cookie中

当我删除body令牌的值时，它显示页面过期错误，但当我删除xsrf令牌的值时，它不显示任何错误和登录成功

POST /login HTTP/1.1
Host: <host>
Content-Length: 513
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: <Origin Address>
Content-Type: application/x-www-form-urlencoded
User-Agent:
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-GB,en-US;q=0.9,en;q=0.8
Cookie: XSRF-TOKEN=<token>; laravel_session=<session token>
Connection: close

_token=<token>&userName=<userName>&password=<Password>

POST/login HTTP/1.1
主持人:
内容长度：513
缓存控制：最大年龄=0
升级不安全的请求：1
来源：
内容类型：application/x-www-form-urlencoded
用户代理：
接受：text/html、application/xhtml+xml、application/xml；q=0.9，图像/webp，图像/apng，*/*；q=0.8，申请/签名交换；v=b3；q=0.9
接受编码：gzip，deflate
接受语言：英语GB，英语US；q=0.9，en；q=0.8
Cookie:XSRF-TOKEN=；拉拉维尔会议=
连接：关闭
_令牌=&userName=&password=

谁能帮我解释一下这两个标记。以及为什么页面在使用BurpSite工具删除xsrf令牌值时未过期。

如中所述：

Laravel使跨站点保护应用程序变得很容易 请求伪造（CSRF）攻击。跨站点请求伪造是一种常见的错误 执行未经授权命令的恶意攻击类型 代表经过身份验证的用户

此外：

Laravel将当前CSRF令牌存储在加密的XSRF-token中 框架生成的每个响应中包含的cookie。 您可以使用cookie值设置X-XSRF-TOKEN请求头。 发送此cookie主要是为了方便，因为一些JavaScript框架和库（如Angular和Axios）会自动将其值放在同一原始请求的X-XSRF-TOKEN头中

如中所述：

Laravel使跨站点保护应用程序变得很容易 请求伪造（CSRF）攻击。跨站点请求伪造是一种常见的错误 执行未经授权命令的恶意攻击类型 代表经过身份验证的用户

此外：

Laravel将当前CSRF令牌存储在加密的XSRF-token中 框架生成的每个响应中包含的cookie。 您可以使用cookie值设置X-XSRF-TOKEN请求头。 发送此cookie主要是为了方便，因为一些JavaScript框架和库（如Angular和Axios）会自动将其值放在同一原始请求的X-XSRF-TOKEN头中

---

你是说

csrf令牌

作为

页面中的

元素吗？不是，我说的是xsrf令牌，它是在我的页面的每次请求时添加到cookie头中的一个插件。你是说

csrf令牌

作为

页面中的

元素吗？不是，我说的是添加到页面中的xsrf令牌来自我的页面的每个请求的标题中的cookie