ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF)
生活随笔
收集整理的這篇文章主要介紹了
ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
表單令牌Token
- 0. 前言
- 1. TP6 令牌token使用
- 1.1 表單提交
- 1.2 AJAX提交
- 2. TP6 令牌token驗證
- 2.1 路由驗證
- 2.2 控制器驗證
- 2.3 驗證器驗證
0. 前言
表單令牌是為了防止表單重復提交,防止跨站請求偽造(Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF。
1. TP6 令牌token使用
1.1 表單提交
如果使用了默認的模板引擎,可以直接使用下面的方式:
<input type="hidden" name="__token__" value="{:token()}" />也可以直接使用
{:token_field()}默認的令牌Token名稱是__token__,如果需要自定義名稱及令牌生成規則可以使用
{:token_field('__hash__', 'md5')}第二個參數表示token的生成規則,也可以使用閉包。
1.2 AJAX提交
如果是AJAX提交的表單,可以將token設置在meta中:
<meta name="csrf-token" content="{:token()}">或者直接使用:
{:token_meta()}然后在全局Ajax中使用這種方式設置X-CSRF-Token請求頭并提交:
$.ajaxSetup({headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')} });2. TP6 令牌token驗證
2.1 路由驗證
然后在路由規則定義中,使用
Route::post('blog/save','blog/save')->token();如果自定義了token名稱,需要改成
Route::post('blog/save','blog/save')->token('__hash__');令牌檢測如果不通過,會拋出think\exception\ValidateException異常。
2.2 控制器驗證
控制器里面手動進行令牌驗證
namespace app\controller;use think\exception\ValidateException; use think\Request;class Index {public function index(Request $request){$check = $request->checkToken('__token__');if(false === $check) {throw new ValidateException('invalid token');}// ...} }如果修改了token或token不存在,就會報錯:
2.3 驗證器驗證
在你的驗證規則中,添加token驗證規則即可
protected $rule = ['name' => 'require|max:25|token','email' => 'email', ];如果你的令牌名稱不是__token__(假設是__hash__),驗證器中需要改為:
protected $rule = ['name' => 'require|max:25|token:__hash__','email' => 'email', ];??重磅推薦:免費商用電商系統
😏想白嫖整個電商系統用來商用?
🤑想有自己的商城實現財富自由?
🤓想學習最佳實踐提升自己技術?
快來進入🚀 傳送門 🚀,開源免費、完整示例帶你快速入門,輕松二開,走上人生巔峰!👨?🎓
總結
以上是生活随笔為你收集整理的ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android 屏幕管理软件,Andro
- 下一篇: python遍历集合_Python 高效