表单CSRF攻击

增加token

‍

<code class="language-php">config/app.php
    // 开启CSRF防护
    'verify_token' =&gt; true,
    // 表单令牌名称
    'form_token_name' =&gt; '__token__',
    // 表单令牌验证规则名称
    'form_token_rule_name' =&gt; 'token',

form
&lt;form method=&quot;post&quot; action=&quot;{:url('index/submit')}&quot;&gt;
    {:token()}
    &lt;!-- 其他表单字段 --&gt;
    &lt;input type=&quot;text&quot; name=&quot;username&quot; /&gt;
    &lt;input type=&quot;password&quot; name=&quot;password&quot; /&gt;
    &lt;button type=&quot;submit&quot;&gt;提交&lt;/button&gt;
&lt;/form&gt;


验证
$data = input('post.');
$validate = \think\facade\Validate::make([
     '__token__' =&gt; 'require|token',
]);
if (!$validate-&gt;check($data)) {
     // CSRF 验证失败
     return jserror('CSRF 令牌验证失败');
}




ajax请求的写法
// 假设您使用jQuery
$.ajaxSetup({
    headers: {
        'X-CSRF-TOKEN': $('meta[name=&quot;csrf-token&quot;]').attr('content')
    }
});
</code>