1

我为我的表单编写了一个 CSRF 保护并添加了一个隐藏令牌。帖子被发送到相同的操作。所以我的formAction代码如下所示:

if($this->getRequest()->isPost()) {
    $token = $this->_getParam('token');
    if(isset($this->session->token) && 
       isset($cellarToken) && 
       $token == $this->session->token) {
         ......process form.......
    }
    else {
       error_log('possible CSRF attack');
    }
}
else {
    $this->session->token =  md5(uniqid(mt_rand(),true));
    $this->view->token = $this->session->token;
}

在我看来html我添加:

<input type="hidden" value="<?= $this->token; ?>" name="token" />

这适用于所有主流浏览器,但在 Chrome、Safari 等 Webkit 浏览器中确实存在一些问题。在这里,我在后台收到对我的联系人的第二个 GET 请求,该请求会生成一个新令牌,因此该表单无效....

有谁知道第二个请求来自哪里?如果它是我自己的代码,那么所有浏览器中都会有第二个请求......

问候

4

0 回答 0