我在我的网站上启用了CSRF保护,但CSRF令牌放在隐藏字段中的唯一时间是使用form_close()时。我通过ajax发布数据,并且还需要发送CSRF以防止500错误。
我认为有一种方法可以将CSRF令牌显式嵌入到页面中,但我似乎无法找到它。
如果页面上没有表单,我如何获得CSRF令牌?
答案 0 :(得分:40)
您可以通过安全类获取CSRF令牌名称和值:
$this->security->get_csrf_hash();
$this->security->get_csrf_token_name();
答案 1 :(得分:11)
以这种方式将其添加到表单
<input type="hidden" name="<?php echo $this->security->get_csrf_token_name(); ?>" value="<?php echo $this->security->get_csrf_hash(); ?>">
答案 2 :(得分:0)
以下是一个示例,说明如何启用CSRF攻击模式:
<script>
var cct = '<?php echo $this->security->get_csrf_hash() ?>';
var get_csrf_token_name = '<?php echo $this->security->get_csrf_token_name() ?>';
$.ajaxSetup({
type:'post',
data:{ <?php echo $this->security->get_csrf_token_name() ?> :cct}
});
var siteurl = '<?= site_url()?>';
</script>