表單令牌Token

• 0. 前言
• 1. TP6 令牌token使用
• • 1.1 表單提交
  • 1.2 AJAX提交
• 2. TP6 令牌token驗證
• • 2.1 路由驗證
  • 2.2 控制器驗證
  • 2.3 驗證器驗證

0. 前言

表單令牌是為了防止表單重復提交，防止跨站請求偽造（Cross-site request forgery），也被稱為 one-click attack 或者 session riding，通常縮寫為 CSRF 或者 XSRF。

1. TP6 令牌token使用

1.1 表單提交

如果使用了默認的模板引擎，可以直接使用下面的方式：

<input type="hidden" name="__token__" value="{:token()}" />

也可以直接使用

{:token_field()}

默認的令牌Token名稱是__token__，如果需要自定義名稱及令牌生成規則可以使用

{:token_field('__hash__', 'md5')}

第二個參數表示token的生成規則，也可以使用閉包。

1.2 AJAX提交

如果是AJAX提交的表單，可以將token設置在meta中：

<meta name="csrf-token" content="{:token()}">

或者直接使用：

{:token_meta()}

然后在全局Ajax中使用這種方式設置X-CSRF-Token請求頭并提交：

$.ajaxSetup({headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')} });

2. TP6 令牌token驗證

2.1 路由驗證

然后在路由規則定義中，使用

Route::post('blog/save','blog/save')->token();

如果自定義了token名稱，需要改成

Route::post('blog/save','blog/save')->token('__hash__');

令牌檢測如果不通過，會拋出think\exception\ValidateException異常。

2.2 控制器驗證

控制器里面手動進行令牌驗證

namespace app\controller;use think\exception\ValidateException; use think\Request;class Index {public function index(Request $request){$check = $request->checkToken('__token__');if(false === $check) {throw new ValidateException('invalid token');}// ...} }

如果修改了token或token不存在，就會報錯：

2.3 驗證器驗證

在你的驗證規則中，添加token驗證規則即可

protected $rule = ['name' => 'require|max:25|token','email' => 'email', ];

如果你的令牌名稱不是__token__（假設是__hash__)，驗證器中需要改為：

protected $rule = ['name' => 'require|max:25|token:__hash__','email' => 'email', ];

---

??重磅推薦：免費商用電商系統

😏想白嫖整個電商系統用來商用？
🤑想有自己的商城實現財富自由？
🤓想學習最佳實踐提升自己技術？

快來進入🚀 傳送門 🚀，開源免費、完整示例帶你快速入門，輕松二開，走上人生巔峰！👨?🎓

總結

以上是生活随笔為你收集整理的ThinkPHP6项目基操（18.实战部分 表单令牌Token 防CSRF）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。