thinkphp5 第38课:正确使用表单令牌

最新推荐文章于 2021-06-29 14:14:11 发布
原创 最新推荐文章于 2021-06-29 14:14:11 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何利用表单令牌防止跨站请求伪造(CSRF)攻击及重复提交,通过前后端配合,确保每次请求唯一性,增强网站安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用表单令牌,一方面可以防止重复提交表单,二方面可以防止黑客CSRF。

表单令牌是在服务器端随机生成的一串字符,保存在session中,并传递给前端页面,当前端数据提交时,一并携带令牌提交给服务器,服务器验证提交的令牌与session中的令牌是否一致,并同时销毁session中的令牌。所以每次请求时的令牌只能使用一次,下次如果使用同样的令牌就会失效,这即阻止了重复提交,也防止了黑客CSRF。

生成表单令牌经常使用以下两种方式:

在前端页面中 嵌入 <input type="hidden" name="__token__" value="{$Request.token}" />

<form id="form1" action="{:url('do_submit')}" method="post">
    <div>
        <label>学号</label>
        <input type="hidden" name="__token__" value="{$Request.token}">
        <input type="text" name="no">
    </div>
    <div>
        <label>姓名</label>
        <input type="text" name="name">
    </div>
    <div>
        <input type="submit" value="提交">
    </div>
</form>

在前端页面嵌入{:token()}

<form id="form1" action="{:url('do_submit')}" method="post">
    <div>
        <lable>学号</lable>
        {:token()}
        <input type="text" name="no">
    </div>
    <div>
        <lable>姓名</lable>
        <input type="text" name="name">
    </div>
    <div>
        <input type="submit" value="提交">
    </div>
</form>

这两种方式结果是一样。{:token()} 最终也生成一个隐藏域,查看网页源代码:

<input type="hidden" name="__token__" value="a205d6c87ab5d2c0997a4586322405af" />

服务器端要做两件事:

1、编写验证器和验证规则

2、使用验证器验证提交的数据

以下是验证器的参考代码:

<?php
namespace app\index\validate;
use think\Validate;

/**
 * 验证器
 */
class User extends Validate
{
    protected $rule = [
        "no" => 'require|token',
        "name" => 'require'
    ];

}
"no" => 'require|token' 
no 是表单中的文本框name="no"传递来的值,require表示必填,
token是验证传过来的表单令牌是否和服务器上的令牌一致,其实与 no 并无半毛钱关系

其中,这样写法很让人产生误解,不妨改成以下代码更好理解

<?php
namespace app\index\validate;
use think\Validate;

/**
 * 验证器
 */
class User extends Validate
{
    protected $rule = [
        "no" => 'require',
        "name" => 'require',
        "__token__" =>'require|token',
    ];

}

下面是调用验证器的参考代码

<?php
namespace app\index\controller;

use think\Controller;

class Index extends Controller
{
    public function index()
    {
        return $this->fetch();
    }

    public function do_submit()
    {
         $data = input('post.');
        $result = $this->validate($data,'User');
        dump($result);
    }
}

停牌验证成功,输出true

令牌验证失败:输出"令牌数据无效"

如果在此页面上刷新 ,就会出现以下结果:

表单令牌同样适用于异步提交表单

前端参考代码:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script src="__STATIC__/jquery.min.js"></script>
</head>
<body>
<form id="form1" action="{:url('do_submit')}" method="post">
    <div>
        <lable>学号</lable>
        {:token()}
        <input type="text" name="no">
    </div>
    <div>
        <lable>姓名</lable>
        <input type="text" name="name">
    </div>
    <div>
        <input type="submit" value="提交">
    </div>
</form>
<script>
    $(function () {
        $('#form1').on('submit',function () {
            var data = $(this).serialize()
            var url = $(this).attr('action')
            $.ajax({
                type:'post',
                url:url,
                data:data,
                success:function (ret) {
                    console.log(ret)
                }
            })
            return false //阻止表单同步提交
        })
    })
</script>
</body>
</html>

服务器端参考代码:

<?php

namespace app\index\controller;

use think\Controller;

class Index extends Controller
{
    public function index()
    {
        return $this->fetch();
    }

    public function do_submit()
    {
        $data = input('post.');
        $result = $this->validate($data, 'User');
        if (true === $result) {
            return ['code' => 200, 'message' => '验证成功'];
        } else {
            return ['code' => 401, 'message' => $result];
        }
    }
}

如果学号和姓名空项提交,结果如下:

如果姓名为空提交,结果如下:

学号和姓名都输入,结果如下:

 

如果再次重复提交,结果如下:

 

Thinkphp 6.0模版的杂项和表单令牌
qq_34820433的博客
04-07 574
Thinkphp 6.0模版的杂项和表单令牌的功能。
thinkphp 表单令牌使用
slpond的博客
01-09 3963
(适用于thinkphp3.2,能在下图中找到红线文件) 一、配置文件 在conf文件夹下配置两个文件 1)config.php   <?php return array( 'TOKEN_ON' => true, // 是否开启令牌验证 默认关闭 'TOKEN_NAME' => '__hash__', // 令牌验证的表单隐藏字
thinkPHP5.0表单令牌使用
banxia2152的博客
05-10 387
表单令牌的作用:避免表单的重复提交(如在tp5提交成功等待跳转页面刷新页面会在次提交表单) 原理:在初始化表单时,生成一个session标识‘token’,提交表单时将这个token一起提交过去,然后和session中的token对比,如果验证通过,清空session中的token 用法: 在表单中添加<input type="hidden" name="__hash__" ...
ThinkPHP表单令牌
卧龙居
03-09 8091
如果不设置表单令牌,很容易导致CSRF(跨站请求伪造)、跨站提交表单表单令牌是一种非常实用的技术,它在表单的视图部分生成随机令牌,默认为随机的MD5串,存在hidden的input中。在表单数据提交前,将提交的数据与SESSION中存放的令牌进行比对,从而判断是否是跨站提交。 ThinkPHP中开启表单令牌的方式比较简单,在config中进行配置: 'TOKEN_ON' =>TRUE,
php表单令牌,ThinkPHP5表单令牌+表单数据验证验证规则
weixin_42393362的博客
03-10 535
转:http://blog.163.com/zhuxun_why/blog/static/26813905020171861417642/表单验证真的很简单 相比较yii的表单验证tp做的很人性 也能达到效果相关规则:// 验证规则默认提示信息protectedstatic$typeMsg=['require'=>':attribute不能为空','number'...
thinkphp 重构
王道长的技术博客
02-23 2519
thinkphp 模版 一、安装 composer require topthink/think-template 二、配置 在根目录下创建index.php入口文件测试: <?php namespace think; require __DIR__.'/vendor/autoload.php'; // 设置模板引擎参数 $config = [ // 模板文件目录 'view_path' => './template/', // 模板编译缓存目录(可写)
一、ThinkPHP架构
苏迪的博客
06-29 1975
对于一个HTTP应用来说,从用户发起请求到响应输出结束,大致的标准请求流程如下: 载入Composer的自动加载autoload文件 实例化系统应用基础类think\App 获取应用目录等相关路径信息 加载全局的服务提供provider.php 设置容器实例及应用对象实例,确保当前容器对象唯一 从容器中获取HTTP应用类think\Http 执行HTTP应用类的run方法启动一个HTTP应用 获取当前请求对象实例(默认为app\Request继承think\Request)保存到容器 执行think\Ap
Think PHP5.0完全开发手册Word版本
12-11
- **表单令牌**:防止表单重复提交。 #### 十六、安全性 - **输入安全**:过滤和验证用户输入。 - **数据库安全**:防止SQL注入等攻击。 - **上传安全**:安全处理文件上传。 - **其它安全建议**:综合性的安全措施...
php面试题汇总(必会)一:
热门推荐
差不多先生
01-28 3万+
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当
最新PHP面试题汇总(附答案)
php阿宝的博客
09-08 1万+
1.请自我介绍一下? 答:我叫xxx,来自北京,20xx年毕业于xx大学计算机xx系,毕业后在武汉从事了x年的php开发工作,公司是一个外包公司,主要做微信开发,公众号推广,商城,论坛的开发 2.你在公司负责那些项目? 答:由于我们公司是一个外包公司,不可能只做一个项目,公司的项目都是交叉进行的,论坛,微信,商城我都做过? 3.你为什么来深圳? 答:因为我哥在这边,父母也希望...
ThinkPHP表单令牌错误与解决方法分析
12-19
本文实例讲述了ThinkPHP表单令牌错误与解决方法。分享给大家供大家参考,具体如下: 在项目的开发过程中,添加、编辑数据时偶尔会遇到系统提示的“表单令牌错误”,一开始没怎么在意,直到今天下午QA把此问题提到bug系统了,正好时间也有空余,就追着TP3.13的源码看了下去,几分钟后,便知道原委了。 在项目中开启表单令牌,通常要在配置文件中做如下配置 // 是否开启令牌验证 'TOKEN_ON' => true, // 令牌验证的表单隐藏字段名称 'TOKEN_NAME' => '__hash__', //令牌哈希验证规则 默认为MD5 'TOKEN_TYPE' => 'md5', //令牌
ThinkPHP5.1表单令牌Token失效问题的解决
01-20
前言 ThinkPHP出于安全的考虑增加了表单令牌Token,由于通过Ajax异步更新数据仅仅部分页面刷新数据,就导致了令牌Token不能得到更新,紧接着的第二次新建或更新数据(提交表单时)失败——不能通过令牌的验证。 当然了,最简单的办法就是刷新整个页面,就导致了异步刷新的无意义!在网上搜寻了很多,有好几种方法;看完觉得有一个最好: Ajax异步动态请求创建新令牌并更新到本地 主要思路:在每次发送表单结束后(不管成功与否)通过Ajax异步请求一个新的表单令牌并保存到表单隐藏域中,下次提交表单使用新的表单令牌去通过。 最终的效果如下: V2.5.0.png 主要分成三步: 第一步:在
thinkphp5第35表单令牌
李书明(石家庄)的专栏
11-11 798
表单令牌的作用:避免表单的重复提交。当然还有另外一个原因,使用表单令牌可以防止黑客绕过表单,伪造数据进行提交。 首先,在前端页面的表单中,添加:<input type="hidden" name="__token__" value="{$Request.token}" /> 比如下面的代码: <!DOCTYPE html> <html lang="en"&gt...
thinkphp5.0.19 表单令牌
weixin_30487201的博客
08-21 151
助手函数token() [F:\phpStudy\WWW\csweb\thinkphp\helper.php] request类token()方法 [F:\phpStudy\WWW\csweb\thinkphp\library\think\Request.php] token生成函数可以自定义: 定义全局函数: 1 function token_fun($p){ 2 ...
php表单令牌,ThinkPHP表单令牌错误与解决方法分析
weixin_39607473的博客
03-10 440
本文实例讲述了ThinkPHP表单令牌错误与解决方法。分享给大家供大家参考,具体如下:在项目的开发过程中,添加、编辑数据时偶尔会遇到系统提示的“表单令牌错误”,一开始没怎么在意,直到今天下午QA把此问题提到bug系统了,正好时间也有空余,就追着TP3.13的源码看了下去,几分钟后,便知道原委了。在项目中开启表单令牌,通常要在配置文件中做如下配置// 是否开启令牌验证'TOKEN_ON' =&gt...
ThinkPHP表单令牌验证功能
ningxinyu520的专栏
04-06 1492
ThinkPHP表单令牌验证功能 ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。 表单令牌验证相关的配置参数有 'TOKEN_ON'=>true, // 是否开启令牌验证 'TOKEN_NAME'=>'__hash__', // 令牌验证的表单隐藏字段名称 'TOKEN_TYPE'=>'md5', //令牌
ThinkPHP 防止表单重复提交的方法
zzz_781111的专栏
11-25 1万+
ThinkPHP内置了表单令牌验证功能,可以有效防止表单的重复提交等安全防护。 表单令牌验证相关的配置参数有: 'TOKEN_ON'=>true,  // 是否开启令牌验证  'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称  'TOKEN_TYPE'=>'md5',  //令牌哈希验证规则 默认为MD5  'TOKEN_RESET'=>
php 令牌验证 原理,PHP -- ThinkPHP框架下表单令牌原理
weixin_34643336的博客
03-10 388
这篇文章主要介绍了PHP -- ThinkPHP框架下表单令牌原理,较为详细的分析了thinkPHP表单令牌的原理、配置、错误原因与相应的解决方法。thinlphp框架项目中开启表单令牌,要在配置文件中做如下配置array(//是否开启令牌验证'TOKEN_ON'=>true,//令牌验证的表单隐藏字段名称'TOKEN_NAME'=>'__hash__',//令牌哈希验证规则 默认为M...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李 书 明

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值