我脑子里想到了以下问题:我构建了一些通用字段集,我希望在所有标准格式中使用它。它包含CSRF-Token和Submit-Button。
它在客户端很好用。但我想知道:如果我使用这个Zend\Form\Element\Csrf我的逻辑在服务器端证明这个令牌是可以的。或者这是由Zend在后台某处处理的?
谢谢!
答案 0 :(得分:3)
我使用此令牌并有同样的问题。简短而甜蜜的答案是它在后台处理。
如果令牌不正确或过期,将返回错误消息。最有可能说明表格并非来自正确的位置。
答案 1 :(得分:0)
您可以使用代理进行测试,burpsuite就是其中之一。提交表单,在代理中拦截它,更改令牌,将其传递给服务器。它应该被拒绝。
或者您可以使用Zend调试器之类的东西并跟踪它。无论哪种方式,您都应该自信地知道它处理得当。