如何配置修复ThinkPHP中CSRF令牌Token验证失败问题?
- 内容介绍
- 文章标签
- 相关推荐
本文共计906个文字,预计阅读时间需要4分钟。
ThinkPHP出现CSRF验证失败,通常并非框架问题,而是Token生成、传递、验证三个环节中至少有一处配置错误。尤其是默认行为为和实际使用场景错配。
表单里没正确输出__token__字段
模板中写了{:token()},但页面源码里压根没出现<input type="hidden" name="__token__" value="...">,说明函数没执行或被缓存拦截了。
- ThinkPHP 6.0+ 中
token()必须在View::fetch()前调用;若用了view()->assign(),得先调token()再assign(),否则视图里{:token()}取不到值 - 纯前端渲染(如Vue接管表单)时,
{:token()}无效,必须后端单独提供/api/token接口返回token()结果 - 别手写
<input name="__token__">——漏掉动态更新逻辑,且不兼容URL参数变化
validateToken()调用时机或方式错误
控制器里写了$this->validateToken(input('post.')),但始终返回false,常见原因是输入流已被提前读取或请求方法不匹配。
本文共计906个文字,预计阅读时间需要4分钟。
ThinkPHP出现CSRF验证失败,通常并非框架问题,而是Token生成、传递、验证三个环节中至少有一处配置错误。尤其是默认行为为和实际使用场景错配。
表单里没正确输出__token__字段
模板中写了{:token()},但页面源码里压根没出现<input type="hidden" name="__token__" value="...">,说明函数没执行或被缓存拦截了。
- ThinkPHP 6.0+ 中
token()必须在View::fetch()前调用;若用了view()->assign(),得先调token()再assign(),否则视图里{:token()}取不到值 - 纯前端渲染(如Vue接管表单)时,
{:token()}无效,必须后端单独提供/api/token接口返回token()结果 - 别手写
<input name="__token__">——漏掉动态更新逻辑,且不兼容URL参数变化
validateToken()调用时机或方式错误
控制器里写了$this->validateToken(input('post.')),但始终返回false,常见原因是输入流已被提前读取或请求方法不匹配。