0

我想到了以下问题:我构建了某种通用字段集,我想在所有标准表单中使用它。它包含一个CSRF-Token和一个Submit-Button

它在客户端工作得很好。但我想知道:如果我使用它Zend\Form\Element\Csrf,我的逻辑在哪里可以在服务器端证明这个令牌是可以的。或者这是由Zend后台某处处理的?

谢谢!

4

2 回答 2

3

我使用这个令牌并且有同样的问题。简短而甜蜜的答案是它是在后台处理的。

如果令牌不正确或过期,将返回错误消息。很可能表明该表格并非来自正确的位置。

于 2012-12-22T00:38:00.130 回答
0

您可以使用代理对其进行测试,burpsuite 就是其中之一。提交表单,在代理中拦截,更改令牌,将其传递给服务器。它应该被拒绝。

或者您可以使用 Zend 调试器之类的东西并对其进行跟踪。无论哪种方式,您都应该有把握地知道它得到了正确处理。

于 2013-01-19T09:52:47.673 回答