代码拉取完成,页面将自动刷新
同步操作将从 欲饮琵琶码上催/think-csrf 强制同步,此操作会覆盖自 Fork 仓库以来所做的任何修改,且无法恢复!!!
确定后同步将在后台操作,完成时将刷新页面,请耐心等待。
是基于thinkphp6.x封装的一个防止csrf攻击的composer包
thinkphp官方的表单令牌其实从实际开发角度来说,它只适合用来防止表单重复提交(虽然官方文档上说可以防止csrf攻击)。 因为框架在验证表单令牌通过后会立马删除session中的token,这样对于ajax提交的方式是非常不友好的, 因为页面没有刷新而session中的表单令牌已经更新导致再次提交表单会失败, 该依赖包就是用来解决这个问题,且验证csrf的token值是长时间保存在cookie中的, 相对于官方表单令牌保存在session中有不会过期、和减轻服务端压力的特点。
防止表单重复提交和防止csrf攻击应该分开来做,你在使用think-csrf的同时也不影响你使用tp官方的表单令牌,它
们不会产生冲突
composer require qiansion/think-csrf
安装完毕后会自动在app/config目录下生成csrf.php配置文件。
<?php
return [
//cookie中的key(可自行更换)
'cookie_key' => '0cc175b9c0f1b6a831c399e269772661',
//传递的csrf参数名称
'param_key' => '_token',
];
think-csrf默认是没有开启的(API应用通常不需要使用think-csrf),如果你需要使
用think-csrf,需要在全局的中间件定义文件中加上下面的中间件定义:
\qiansion\middleware\VerifyCsrfToken::class
Tips:如果是多应用模式,并且你只是用于部分应用,那么也可以在应用中间件定义文件中单独开启
下面是示例,是基于think-smarty模板引擎来定义的,
如果你是tp框架自带的模板引擎,那么调用函数的语法应该是{:csrf_field()}
<form action="" method="post">
<{ csrf_field() }>
<div class="form-group">
<label for="email">Email address:</label>
<input type="email" class="form-control" placeholder="Enter email" id="email">
</div>
<div class="form-group">
<label for="pwd">Password:</label>
<input type="password" class="form-control" placeholder="Enter password" id="pwd">
</div>
<div class="form-group form-check">
<label class="form-check-label">
<input class="form-check-input" type="checkbox"> Remember me
</label>
</div>
<button type="submit" class="btn btn-primary">Submit</button>
</form>
如果是AJAX提交的表单,可以将token设置在meta中
<meta name="csrf-token" content="<{ csrf_token() }>">
或直接在视图文件中调用csrf_meta()函数也能生成上面的meta标签
然后在全局Ajax中使用这种方式设置X-CSRF-Token请求头并提交:
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
| 函数名 | 描述 |
|---|---|
| csrf_field | 返回一个携带token的隐藏域 |
| csrf_meta | 返回一个携带token的meta标签 |
| csrf_token | 返回token值 |
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。