我有一个登录页面(login.php),重定向到我的主页面(dashboard.php)。当用户将他们的电子邮件和密码POST到login.php时,我验证凭据,创建CSRF令牌,将其存储在会话中,然后重定向到dashboard.php。但是,在重定向时,dashboard.php正在对会话和CSRF令牌进行自己的验证。由于它是php中的重定向,我无法附加任何自定义标头来包含CSRF和dashboard.php重定向回login.php。我以为我可以用JavaScript处理这个问题,但是没有找到任何在JavaScript中重定向到另一个页面并在头文件中包含CSRF令牌的例子。我知道我可以使用CSRF令牌重定向GET变量,但这似乎不安全。
的login.php
<?php
$user = new AuthenticatedUser($dbh);
$loggedIn = $user->isLoggedIn();
if ($user->isLoggedIn())
{
header("Location: dashboard.php");
die("Redirecting to dashboard...");
}
if (isset($_POST["email"]) && isset($_POST["password"]))
{
$user->login($_POST["email"], $_POST["password"]);
if ($user->isLoggedIn())
{
header("Location: dashboard.php");
}
}
dashboard.php
<?php
$dbh = new Database();
$authUser = new AuthenticatedUser($dbh);
// When constructing the AuthenticatedUser class object in dashboard.php the
// constructor function checks to see if the user has a session and if so then
// checks for the CSRF is set. If it's not the class flips the flag for
// isLoggedIn which in turn tells dashboard.php to redirect back to login.php
if (!$authUser->isLoggedIn())
{
header("Location: login.php");
die("Redirecting to login...");
}
?>