zblog中CSRFToken验证的必要性对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;通过 GET 方法提交,如果您的
zblog中CSRFToken验证的必要性
对于需要用户点链接或提交表单触发,进而对数据或文件产生影响的,除必要的用户权限验证外,应另外加入 CSRF Token 验证;
通过 GET 方法提交,如果您的目标地址是 cmd.php,那么您可以使用以下函数:
<?php echo BuildSafeCmdURL('act=TagPst'); ?>
通过 POST 方法提交,您可以在 form 表单内加入
<input type="hidden" name="csrfToken" value="<?php echo $zbp->GetCSRFToken();?>">
对于应用内的,比如保存配置项,上传文件等操作中,可使用CheckIsRefererValid();进行验证;
if (count($_POST) > 0) {
CheckIsRefererValid();
// 你的代码,以下为示例
// 配置项保存 ↓
foreach ($_POST as $key => $value) {
$zbp->Config("demoPlugin")->$key = $value;
}
$zbp->SaveConfig("demoPlugin");
// 结束
$zbp->SetHint('good');
Redirect('./main.php');
}
本文由青舟模板网发布,如若转载,请注明出处:http://www.qingzo.com/jishu/zblogcsrf.html
