zblog中CSRFToken验证的必要性

zblog中CSRFToken验证的必要性

对于需要用户点链接或提交表单触发，进而对数据或文件产生影响的，除必要的用户权限验证外，应另外加入 CSRF Token 验证；

通过 GET 方法提交，如果您的目标地址是 cmd.php，那么您可以使用以下函数：

<?php echo BuildSafeCmdURL('act=TagPst'); ?>

通过 POST 方法提交，您可以在 form 表单内加入

<input type="hidden" name="csrfToken" value="<?php echo $zbp->GetCSRFToken();?>">

对于应用内的，比如保存配置项，上传文件等操作中，可使用CheckIsRefererValid();进行验证；

if (count($_POST) > 0) {
  CheckIsRefererValid();
  // 你的代码，以下为示例
  // 配置项保存 ↓
  foreach ($_POST as $key => $value) {
    $zbp->Config("demoPlugin")->$key = $value;
  }
  $zbp->SaveConfig("demoPlugin");
  // 结束
  $zbp->SetHint('good');
  Redirect('./main.php');
}