thinkphp5的表单令牌,我们一般应用到表单提交上。当然也可以应用到url上,生成随机的参数值,这样可以有效避免用户更改url,也可以防止别人盗取链接。因为我们的url是一次性的,第二次访问无效。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="__STATIC__/jquery.min.js"></script>
</head>
<body>
<form id="form1" action="{:url('do_submit')}" method="post">
<div>
<lable>学号</lable>
{:token()}
<input type="text" name="no">
</div>
<div>
<lable>姓名</lable>
<input type="text" name="name">
</div>
<div>
<input type="submit" value="提交">
</div>
</form>
<script>
$(function () {
$('#form1').on('submit',function () {
var data = $(this).serialize()
var url = $(this).attr('action')
$.ajax({
type:'post',
url:url,
data:data,
dataType:'json',
success:function (ret) {
// console.log(ret)
if(ret.code == 200){
//提交正常,跳转到服务器指定的url
window.location.href = ret.url
}else{
alert(ret.message)
}
}
})
return false //阻止表单同步提交
})
})
</script>
</body>
</html>
上面的代码,只在表单中使用了令牌,防止重复提交表单。
服务器端 代码如下:
<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
public function index()
{
return $this->fetch();
}
public function do_submit()
{
$data = input('post.');
$result = $this->validate($data, 'User');
if (true === $result) {
//生成表单令牌,令牌的名称改成了random
$newtoken = $this->request->token('random');
//将表单令牌应用到url上
return ['code' => 200, 'url' => url('info') . "?random=$newtoken"];
} else {
return ['code' => 401, 'message' => $result];
}
}
public function info()
{
$data = input('get.');
//验证url上的令牌
$result = $this->validate($data, 'Url');
if (true === $result) {
dump('可以正常访问');
}else{
dump($result);
}
}
}
验证器代码:
<?php
namespace app\index\validate;
use think\Validate;
class Url extends Validate
{
protected $rule = [
'random' => 'require|token:random'
];
}
当用户正常访问时,会一路申通
如果用户刷新此页面,或者修改random参数的值,结果如下 :
这样的用户确实很另类,禁止了用户刷新页面