我正在使用play-2.2.3来开发API。这些API由PHP / JQuery前端访问。简单的例子是resetPassword API。在PHP中,当我调用重置密码API时,它应该受到CSRF令牌的保护,这样有人就不能简单地调用该API并重置别人的密码。 如果没有使用Scala(由Play-2.2.3提供)呈现表单,有没有办法手动拥有一次性使用服务器端令牌,它在重置密码表单中显示为隐藏表单字段,并在发布请求中得到验证提交表单的服务器?
答案 0 :(得分:1)
想出如何做到这一点。
@AddCSRFToken PLAY_SESSION=.....-csrfToken=........注释
PLAY_SESSION cookie,在queryString中传递csrfToken=.....。