CSRF 保护
Slim 3 使用独立可选的 PHP 组件 slimphp/Slim-Csrf 来保护应用程序免遭 CSRF(跨站请求伪造)。本组件为每个请求生成一个唯一 token ,验证来源于客户端 HTML 表单产生的 POST 请求。
安装
在你的项目的根目录下执行这个bash命令:
composer require slim/csrf
用法
这个 slimphp/Slim-Csrf
组件包含一个应用程序中间件。像这样将它添加到你的应用程序中:
// Add middleware to the application
$app = new \Slim\App;
$app->add(new \Slim\Csrf\Guard);
// Create your application routes...
// Run application
$app->run();
提取 CSRF token 的名称和值
最新的 CSRF token 作为 PSR7 请求对象的属性,其名称和值是可获取的。每个请求的CSRF token 都是唯一的。你可以像这样提取当前的 CSRF token 的名称和值:
$app->get('/foo', function ($req, $res, $args) {
// Fetch CSRF token name and value
$name = $req->getAttribute('csrf_name');
$value = $req->getAttribute('csrf_value');
// TODO: Render template with HTML form and CSRF token hidden field
});
你应该将 CSRF token 的名称和值船体给模板,这样它们就能和 HTML 表单 POST 请求一起被提交。它们经常被存储为 HTML 表单的一个隐藏字段。