thinkphp5的表單令牌,我們一般應用到表單提交上。當然也可以應用到url上,生成隨機的參數值,這樣可以有效避免用戶更改url,也可以防止別人盜取鏈接。因爲我們的url是一次性的,第二次訪問無效。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
<script src="__STATIC__/jquery.min.js"></script>
</head>
<body>
<form id="form1" action="{:url('do_submit')}" method="post">
<div>
<lable>學號</lable>
{:token()}
<input type="text" name="no">
</div>
<div>
<lable>姓名</lable>
<input type="text" name="name">
</div>
<div>
<input type="submit" value="提交">
</div>
</form>
<script>
$(function () {
$('#form1').on('submit',function () {
var data = $(this).serialize()
var url = $(this).attr('action')
$.ajax({
type:'post',
url:url,
data:data,
dataType:'json',
success:function (ret) {
// console.log(ret)
if(ret.code == 200){
//提交正常,跳轉到服務器指定的url
window.location.href = ret.url
}else{
alert(ret.message)
}
}
})
return false //阻止表單同步提交
})
})
</script>
</body>
</html>
上面的代碼,只在表單中使用了令牌,防止重複提交表單。
服務器端 代碼如下:
<?php
namespace app\index\controller;
use think\Controller;
class Index extends Controller
{
public function index()
{
return $this->fetch();
}
public function do_submit()
{
$data = input('post.');
$result = $this->validate($data, 'User');
if (true === $result) {
//生成表單令牌,令牌的名稱改成了random
$newtoken = $this->request->token('random');
//將表單令牌應用到url上
return ['code' => 200, 'url' => url('info') . "?random=$newtoken"];
} else {
return ['code' => 401, 'message' => $result];
}
}
public function info()
{
$data = input('get.');
//驗證url上的令牌
$result = $this->validate($data, 'Url');
if (true === $result) {
dump('可以正常訪問');
}else{
dump($result);
}
}
}
驗證器代碼:
<?php
namespace app\index\validate;
use think\Validate;
class Url extends Validate
{
protected $rule = [
'random' => 'require|token:random'
];
}
當用戶正常訪問時,會一路申通
如果用戶刷新此頁面,或者修改random參數的值,結果如下 :
這樣的用戶確實很另類,禁止了用戶刷新頁面