zblog中CSRFToken验证的必要性对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;通过 GET 方法提交,如果您的
zblog中CSRFToken验证的必要性
对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;
通过 GET 方法提交,如果您的目标地址是 cmd.php,那么您可以使用以下函数:
<?php echo BuildSafeCmdURL('act=TagPst'); ?>
通过 POST 方法提交,您可以在 form 表单内加入
<input type="hidden" name="csrfToken" value="<?php echo $zbp->GetCSRFToken();?>">
对于应用内的,比如保存配置项,上传文件等操作中,可使用CheckIsRefererValid();进行验证;
if (count($_POST) > 0) { CheckIsRefererValid(); // 你的代码,以下为示例 // 配置项保存 ↓ foreach ($_POST as $key => $value) { $zbp->Config("demoPlugin")->$key = $value; } $zbp->SaveConfig("demoPlugin"); // 结束 $zbp->SetHint('good'); Redirect('./main.php'); }
本文由青舟模板网发布,如若转载,请注明出处:http://qingzo.com/jishu/zblogcsrf.html