ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF)
表單令牌Token
- 0. 前言
- 1. TP6 令牌token使用
- 1.1 表單提交
- 1.2 AJAX提交
- 2. TP6 令牌token驗(yàn)證
- 2.1 路由驗(yàn)證
- 2.2 控制器驗(yàn)證
- 2.3 驗(yàn)證器驗(yàn)證
0. 前言
表單令牌是為了防止表單重復(fù)提交,防止跨站請(qǐng)求偽造(Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF。
1. TP6 令牌token使用
1.1 表單提交
如果使用了默認(rèn)的模板引擎,可以直接使用下面的方式:
<input type="hidden" name="__token__" value="{:token()}" />也可以直接使用
{:token_field()}默認(rèn)的令牌Token名稱是__token__,如果需要自定義名稱及令牌生成規(guī)則可以使用
{:token_field('__hash__', 'md5')}第二個(gè)參數(shù)表示token的生成規(guī)則,也可以使用閉包。
1.2 AJAX提交
如果是AJAX提交的表單,可以將token設(shè)置在meta中:
<meta name="csrf-token" content="{:token()}">或者直接使用:
{:token_meta()}然后在全局Ajax中使用這種方式設(shè)置X-CSRF-Token請(qǐng)求頭并提交:
$.ajaxSetup({headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')} });2. TP6 令牌token驗(yàn)證
2.1 路由驗(yàn)證
然后在路由規(guī)則定義中,使用
Route::post('blog/save','blog/save')->token();如果自定義了token名稱,需要改成
Route::post('blog/save','blog/save')->token('__hash__');令牌檢測(cè)如果不通過,會(huì)拋出think\exception\ValidateException異常。
2.2 控制器驗(yàn)證
控制器里面手動(dòng)進(jìn)行令牌驗(yàn)證
namespace app\controller;use think\exception\ValidateException; use think\Request;class Index {public function index(Request $request){$check = $request->checkToken('__token__');if(false === $check) {throw new ValidateException('invalid token');}// ...} }如果修改了token或token不存在,就會(huì)報(bào)錯(cuò):
2.3 驗(yàn)證器驗(yàn)證
在你的驗(yàn)證規(guī)則中,添加token驗(yàn)證規(guī)則即可
protected $rule = ['name' => 'require|max:25|token','email' => 'email', ];如果你的令牌名稱不是__token__(假設(shè)是__hash__),驗(yàn)證器中需要改為:
protected $rule = ['name' => 'require|max:25|token:__hash__','email' => 'email', ];??重磅推薦:免費(fèi)商用電商系統(tǒng)
😏想白嫖整個(gè)電商系統(tǒng)用來(lái)商用?
🤑想有自己的商城實(shí)現(xiàn)財(cái)富自由?
🤓想學(xué)習(xí)最佳實(shí)踐提升自己技術(shù)?
快來(lái)進(jìn)入🚀 傳送門 🚀,開源免費(fèi)、完整示例帶你快速入門,輕松二開,走上人生巔峰!👨?🎓
總結(jié)
以上是生活随笔為你收集整理的ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: android 屏幕管理软件,Andro
- 下一篇: ThinkPHP6项目基操(16.实战部