防止表单篡改是安全组件提供的基本功能之一。只要启用它,它就会将所有 POST 视为表单提交。
常规的手工编码 HTML 表单在启用安全组件的情况下无法使用,因此 JQuery 生成的 POST 也无法使用。当然,您可以使用安全组件提供的保护,但随后您会失去保护$this->Security->validatePost = false;
。$this->Security->csrfCheck = false;
为了保持安全组件正常工作,您需要使用 CakePHP 表单助手来创建您将通过 ajax 发布的表单。这样,data[_Token][fields]
和data[_Token][unlocked]
隐藏字段就可以使用它们的键生成:
<?php
echo $this->Form->create('Test',array('id'=>'testform'));
echo $this->Form->input('Something');
echo $this->Form->submit();
echo $this->Form->end();
?>
这将生成如下内容:
<form action="/your/url" id="testform" method="post" accept-charset="utf-8">
<div style="display:none;">
<input type="hidden" name="_method" value="POST"/>
<input type="hidden" name="data[_Token][key]" value="9704aa0281d8b5a2fcf628e9fe6f6c8410d8f07a" id="Token937294161"/>
</div>
<div class="input text">
<input name="data[Test][Something]" class="required" type="text" id="TestSomething"/>
</div>
<div class="submit">
<input type="submit" />
</div>
<div style="display:none;">
<input type="hidden" name="data[_Token][fields]" value="0c81fda1883cf8f8b8ab39eb15d355eabcfee7a9%3A" id="TokenFields817327064"/>
<input type="hidden" name="data[_Token][unlocked]" value="" id="TokenUnlocked281911782"/>
</div>
</form>
现在只需在 JQuery 中序列化此表单,以便可以使用 ajax POST 发送它:
$('#testform').submit(function(event) {
$.ajax({
type: 'POST',
url: "/your/url",
data: $('#testform').serialize(),
success: function(data){
alert('Wow this actually worked');
},
error:function() {
alert('This will never work');
}
});
event.preventDefault(); // Stops form being submitted in traditional way
});
现在,如果您按下提交按钮,POST 将成功。
重要提示:由于表单助手的令牌只能与安全组件一起使用一次,因此此解决方案仅适用于您只打算在每页生成一次 POST 时。如果您需要能够在页面重新加载之间多次发布相同的表单,那么当您在控制器的开头添加安全组件时,您需要执行以下操作:
public $components = array(
'Security' => array(
'csrfUseOnce' => false
)
);
...这将允许令牌用于多个请求。它不那么安全,但您可以将其结合起来,csrfExpires
以便令牌最终过期。这一切都记录在Cake book 的 CSRF 配置部分。