srcminicsrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:
<?php
// Some data that will be binded from an array to the model
$formData = array(
"title" => "Hello World", "content" => "Bla bla bla ..."
);
// Define the form
$this->form = new SomeModelForm();
// Deal with the request
if ($request->isMethod('post'))
{
$this->form->bind($formData);
if ($this->form->isValid())
{
// Rest of logic
}
}如果数据与定义的模型匹配, 则绑定过程将成功进行绑定, 但是你将看到一个异常, 该异常指定该格式无效, 因为_csrf_token字段不可用(只要你的csrf保护已启用)项目):
500 Internal Server Error:_csrf_token [必需。]
在这种情况下, 如果你知道自己在做什么, 并且了解禁用_csrf_token的含义(例如, 在不需要CSRF的情况下, 而是使用了api键或类似的方法), 则可以不全局禁用它, 而是特别是针对你需要的所有表格, 只需一行代码。
以一种形式禁用CSRF令牌
要从表单中禁用CSRF保护, 只需从中调用getValidor方法, 该方法将CSRF令牌的名称作为第一个参数(从方法getCSRFFieldName自动生成), 然后从返回的值中调用setOption方法, 定义所需的选项为false。
你基本上要做的是将_csrf_token字段设置为不需要, 因此你的表单将是有效的, 仅此而已:
<?php
// Define the form
$this->form = new SomeModelForm();
// Disable CSRF protection
$this->form->getValidator($form->getCSRFFieldName())->setOption('required', false);
// Rest of logic, where the form will be valid 编码愉快!
评论前必须登录!
注册