ThinkPHP6开启CSRF表单验证

最新推荐文章于 2022-04-20 15:35:28 发布
最新推荐文章于 2022-04-20 15:35:28 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: PHP 后端 文章标签: 后端 php thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36436407/article/details/118560673
版权
PHP 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
后端
21 篇文章 0 订阅
订阅专栏

目录

使用原因

简单配置

两种提交数据的场景

表单提交

ajax异步提交

使用原因

项目使用非前后端分离的情境下,提交表单时,开启CSRF中间件能提高操作安全性。

简单配置

开启session中间件与csrftoken验证中间件

# 修改app/middleware.php,去掉SessionInit类注释并增加FormTokenCheck类
<?php
// 全局中间件定义文件
return [
    // 全局请求缓存
    // \think\middleware\CheckRequestCache::class,
    // 多语言加载
    // \think\middleware\LoadLangPack::class,
    // Session初始化
     \think\middleware\SessionInit::class,
    // FormToken验证
    \think\middleware\FormTokenCheck::class,
];

ps:本人直接使用全局中间件来演示。

两种提交数据的场景

表单提交

1.在form表单内设置隐藏域,生成CsrfToken

# 第一种形式:生成隐藏域表单
<?=token_field()?>
# 第二种形式:定义token名称并设置值
<input type="hidden" name="__token__" value="<?=token()?>" />

2.简单HTML实例代码 

<!DOCTYPE html>
<html lang="en">

<head>
    <?=token_meta()?>
</head>

<body class="bg-gradient-primary">

<div class="container">
    <form id="loginForm" class="user" action="/admin/doLogin" method="post">
        <?=token_field()?>
        <input value="123456789@qq.com" name="account">
        <input value="123456" name="password" type="password">
        <a onclick="doLogin()" href="#" class="btn">登录</a>
    </form>
</div>
</body>
</html>
<script>
  function doLogin()
  {
     $('#loginForm').submit();
  }
</script>

ajax异步提交

1.生成meta标签

# 第一种形式:直接通过方法生成meta标签,放置在页面head块里
<?=token_meta()?>
# 第二种形式:定义meta名称并设置值
<meta name="csrf-token" content="<?=token()?>">

2.调用ajax时,通过设置headers参数携带CsrfToken

let data = $('form').serializeArray();
$.ajax({
    type:'POST',
    url: '/admin/doLogin',
    headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
    },
    data:data,
    success:function (res) {
      console.log(res)
    },
    error:function (err) {
      console.log(err)
    }
})

3.简单HTML实例代码

<!DOCTYPE html>
<html lang="en">

<head>
    <?=token_meta()?>
</head>

<body class="bg-gradient-primary">

<div class="container">
    <form id="loginForm" class="user">
        <input value="123456789@qq.com" name="account">
        <input value="123456" name="password" type="password">
        <a onclick="doLogin()" href="#" class="btn">登录</a>
    </form>
</div>
</body>
</html>
<script>
  function doLogin()
  {
    let data = $('#loginForm').serializeArray();
    $.ajaxSetup({
      headers: {}
    })
    $.ajax({
      type:'POST',
      url: '/admin/doLogin',
      headers: {
        'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
      },
      data:data,
      success:function (res) {
        console.log(res)
      },
      error:function (err) {
        console.log(err)
      }
    })
  }
</script>

赋上TP6文档地址,更多细节可自行查阅:https://www.kancloud.cn/manual/thinkphp6_0/1037632

东小记
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
thinkphp6 验证器(提交表单等场景用)
weixin_42733582的博客
07-10 401
<?php //验证器的使用,我们必须先定义它,系统提供了一条命令直接生成想要的类; php think make:validate User//这条命令会自动在应用目录下生成一个 validate 文件夹,并生成 User.php 类; class User extends Validate //自动生成了两个属性:$rule 表示定义规则,$message 表示错误提示信息; protected $rule = [ 'name' => 'require|max:20'
ThinkPHP下表单令牌错误与解决方法分析
10-19
ThinkPHP框架中,表单令牌(Token)是一种防止跨站请求伪造(Cross-Site Request Forgery,CSRF)的安全机制。它主要用于确保用户提交的数据是来自预期的页面和用户,防止恶意第三方在用户不知情的情况下提交表单...
think PHP6 sql注入 XSS攻击 CSRF攻击
amateur12的博客
12-19 1484
composer下载: composer require ezyang/htmlpurifier 此方法放入common里,作为公共函数,随时调用,用来过滤信息 //过滤 xss if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 .
ThinkPHP6项目基操(18.实战部分 表单令牌Token 防CSRF
张营的技术博客
01-02 3074
表单令牌Token0. 前言1. TP6 令牌token使用1.1 表单提交1.2 AJAX提交2. TP6 令牌token验证2.1 路由验证2.2 控制器验证2.3 验证器验证 0. 前言 表单令牌是为了防止表单重复提交,防止跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF。 1. TP6 令牌token使用 1.1 表单提交 如果使用了默认的模板引擎,可以直接使用下
thinkphp6重写表单令牌验证(模仿laravel的csrf验证)
寂寥人生
08-04 421
csrf是什么? https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369 我一句话概况就是和php验证码类原理差不多,就是在服务的存一个session的字符串,客户端(页面)每次请求(如post delete put)等请求的时候要携带生成的字符串,如果字符串正确就通过。不正确就返回错误。 thinkphp6和laravel的处理方式不太一样 laravel 的csrf 生成_token后就不会变,直到失效后刷新才会生成新的_token。
thinkphp表单验证
aodc6537的博客
07-10 278
thinkphp框架提供了表单验证功能,分为静态验证和动态验证。 一、静态验证: 1、首先我们在Admin的IndexController.class.php下写一个方法yanzheng,然后用create方法对表单提交进行验证: namespace Admin\Controller; use Home\Controller\BaseController; class In...
ThinkPHP中处理表单中的注意事项
10-25
ThinkPHP提供了内置的CSRF令牌机制,需要在表单中添加隐藏字段,并在服务器端验证。 10. **事务处理**: - 对于涉及多条数据库操作的事务,ThinkPHP支持事务处理,可以确保数据的一致性。使用`M()->startTrans()`...
ThinkPHP6.zip
09-16
- **CSRF防护**:框架默认开启CSRF防护,确保表单提交的安全。 - **密码加密**:内置了密码哈希策略,确保用户密码安全存储。 - **认证组件**:ThinkPHP6提供了基础的认证组件,支持OAuth2.0等身份验证协议。 10...
thinkphp6安装包
04-24
开发者可以通过官方文档学习ThinkPHP6的使用方法,包括控制器、模型、视图、路由、中间件、表单验证、缓存、队列等众多功能的详细使用教程。同时,`app`目录下的示例代码可以帮助理解框架的基本架构。 6. **安全性...
ThinkPHP表单令牌错误的相关解决方法分析
12-17
3. **在模板文件中添加{__NOTOKEN__}**:在表单中加入这个特殊标记,理论上可以告诉ThinkPHP跳过当前表单的令牌验证。但是,如果问题依旧,那么问题可能出在其他地方。 在上述方法均无效的情况下,开发者需要更深入...
ThinkPHP表单自动提交验证实例教程
12-30
本文以实例讲述了ThinkPHP表单自动提交验证的实现过程,详细步骤如下所示: 一、模板部分: <!DOCTYPE HTML PUBLIC -//W3C//DTD HTML 4.0 Transitional//EN> <HTML> <HEAD> <meta http-equiv=Content-Type content=text/html; charset=utf-8> <TITLE>ThinkPHP示例:表单提交、自动验证和自动填充</TITLE> </HEAD> <BODY> <div class=main> <FORM METHOD=POST ACTION=__URL
07thinkphp 第三天 表单验证+验证器+ 附 csrf验证token
fly
11-15 597
表单验证是为了防止访问者跳过客户端验证(js验证)而造成的系统安全问题,一但非法用户绕过客户端验证而服务器端没有加以验证,这样就是很不安全了,所以项目必须要进行服务器端表单验证ThinkPHP5.1推荐使用验证器进行数据验证(也支持使用\think\Validate类进行独立验证) 内置规则: https://www.kancloud.cn/manual/thinkphp5_1/3541...
ThinkPHP5初体验(二)1】CSRF防范原理(thinkphp5 CSRF ajax令牌)
m0_37477061的博客
07-08 799
CSRF是什么我就不解释了,百度一搜全是,比波姐的片源还要多,千篇一律都他么是复制粘贴。 那为什么这个令牌(token)操作可以防范CSRF呢?下面我就随便说说说错了大家不要介意。 首先我们要知道令牌是存储在session里面的,这个很重要 php代码如下 <?php namespace app\index\controller; //我直接允许跨域,因为伪装CS...
php ajax 提交表单验证,ThinkPHP框架表单验证AJAX
weixin_30945845的博客
08-06 220
验证有两种方式:静态验证与动态验证。一、静态验证在模型类里面预先定义好该模型的自动验证规则,我们称为静态定义。验证时要在test表的Model里面加验证条件:新建testModel.class.php,在模型类里面定义了$_validate属性如下:namespace Home\Model;use Think\Model;class testModel extends Model{//静态验证pr...
php 表单提交及验证 tp,ThinkPHP表单自动提交验证实例教程
weixin_36284848的博客
03-16 176
ThinkPHP表单自动提交验证实例教程附加规则 配合验证规则使用,包括:function 使用函数验证,前面定义的验证规则是一个函数名callback 使用方法验证,前面定义的验证规则是一个当前 Model 类的方法confirm 验证表单中的两个字段是否相同,前面定义的验证规则是一个字段名equal 验证是否等于某个值,该值由前面的验证规则定义in 验证是否在某个范围内,前面定义的验证规则必须...
ThinkPhp6防止XSS攻击
Xian_Hu的博客
12-17 660
因为 tp6 框架已经自带转化危险标签 所以我们要进行过滤掉危险标签 第一步: 安装composer安装插件来处理 composer require ezyang/htmlpurifier 第二步: 将代码放置在公共文件中 // 过滤危险标签:防SS攻击 if (!function_exists('remove_xss')) { //使用htmlpurifier防范xss攻击 function remove_xss($string) { ...
Thinkphp快速入门(三)
qq_29744347的博客
04-20 374
文章目录中间件中间件创建全局中间件应用中间件路由中间件控制器中间件视图引入视图组件渲染视图模版传参viwe 辅助函数 中间件 在执行主要逻辑之前进行某些操作或之后进行某些操作 常用来登录验证,csrf验证等 中间件创建 # 中间件可以通过 php think make:middleware <middlewareName> 创建 # 不过这是创建在 app/middleware 下的 php think make:middleware stop
php中token作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 976
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预防,原理可以用session产生一个token,因为:...
thinkphp6 开启调试
最新发布
03-27
thinkphp6中,可以通过以下两种方法来开启调试模式: 1. 在应用配置文件中设置debug参数为true 打开应用配置文件config/app.php,找到'debug' => false,将其改为'debug' => true即可开启调试模式。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东小记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值