beforeSend参数中,csrf令牌被设置在头部。那么csrfToken的值是什么?由于它会报错:csrfToken未定义
beforeSend: function(xhr){
xhr.setRequestHeader('X-CSRF-Token', csrfToken);
},
CSRF组件将当前令牌写入请求参数中,名称为_csrfToken,您可以通过请求对象的param()方法(或自CakePHP 3.4起之后的getParam()方法)获取它:
beforeSend: function(xhr){
xhr.setRequestHeader(
'X-CSRF-Token',
<?= json_encode($this->request->param('_csrfToken')); ?>
);
},
为了使令牌在所有脚本中可用,例如可以将其作为全局变量在您的布局模板中进行设置:
<script>
var csrfToken = <?= json_encode($this->request->param('_csrfToken')) ?>;
// ...
<script>
setRequestHeader('X-CSRF-Token', csrfToken);
如果需要禁用CSRF组件,则可以从控制器事件管理器中移除它。您需要确定何时需要这样做,例如针对特定操作,如下所示:
public function beforeFilter(\Cake\Event\Event $event)
{
parent::beforeFilter($event);
if ($this->request->param('action') === 'actionXyz') {
$this->eventManager()->off($this->Csrf);
}
}
_csrfToken的请求参数。但是禁用中间件的方法不同,请参见例如Cakephp 3.5.6为控制器禁用CSRF中间件。每个表单都有一个隐藏的_csrfToken字段,当您启用Csrf组件时,它会自动添加。现在您可以通过jquery轻松获取此字段的令牌,例如$('[name="_csrfToken"]').val()。
一个ajax调用将如下所示:
$.ajax({
url: 'someUrl',
headers : {
'X-CSRF-Token': $('[name="_csrfToken"]').val()
},
type: 'post',
...
});
CakePHP 3
请不要为任何特定操作解锁字段/禁用CSRF安全组件。这对于表单安全非常重要。
对于那些遇到"请求已被拦截"、"表单篡改错误"、"您未被授权访问该位置"或"POST数据中有意外字段"的人,这主要是由于CSRF组件按预期工作。
禁用或修改它并不是一个解决方案。相反,请遵循正确的方法。在上述情况下,请尝试序列化表单,这应该会产生魔力。
var el = $("#xyzForm");
var ajaxTPCalls = el.serializeArray();
$.ajax({
type: el.attr('method'),
async: true,
url: el.attr('action'),
data: ajaxTPCalls,
dataType: "json",
cache: false,
success: function (data) {
toastr.success(data.message, data.title);
},
error: function (jqXHR) {
if (jqXHR.status == 403) {
$("body").html(jqXHR.responseText);
}
}
});
这样做可以不禁用CSRF或解锁任何字段。