除了核心 slim 框架 外,我们还提供了一些对特定类型的问题有用的附加组件。其中之一是 slim-csrf ,它提供 csrf 保护。
这是一个中间件,它在会话中为每个请求设置一个令牌,然后您可以将其设置为表单上的隐藏输入字段。提交表单时,中间件会检查表单字段中的值是否与存储在会话中的值匹配。如果它们匹配,则一切正常,但如果它们不匹配,则会引发错误。
对于最简单的用例,您需要启动会话并添加中间件:
session_start();
$app->add(new slim\csrf\guard());
然后,从给定的可调用路由中,您可以创建表单并添加两个隐藏字段:一个用于令牌的名称,一个用于令牌的值:
session_start();
$app->add(new slim\csrf\guard());
如果您在浏览器中运行它并查看源代码,您将看到如下内容:
刷新,您会看到 csrf_name 和 csrf_value 字段的不同值,这意味着用户可以打开多个选项卡并提交而不会出现任何问题。
为了测试,我创建了一个简单的可调用路由:
session_start();
$app->add(new slim\csrf\guard());
按表单的提交按钮将导致显示“passed csrf check.”。如果您随后刷新并确认该帖子,您将看到“csrf 检查失败!”并且 http 状态代码将为 400。
自定义 csrf 失败
您可能希望自定义 csrf 故障显示,因为纯文本错误消息对用户来说不是很友好!要更改此设置,请向具有与中间件相同签名的守卫类提供一个可调用对象:`
功能($请求,$响应,$next)。中间件必须返回响应。
这允许您提供自定义错误页面:
session_start();
$app->add(new slim\csrf\guard());
由于失败调用具有中间件签名,您还可以在 $request 中设置一个标志,然后稍后处理 csrf 失败。失败调用看起来像这样:
session_start();
$app->add(new slim\csrf\guard());
现在,您的可调用路由可以决定要做什么:
session_start();
$app->add(new slim\csrf\guard());
这是非常强大的,而且非常容易设置。
概括
失败调用的灵活性允许您以最适合您的应用程序的方式处理 csrf 验证失败,这是该中间件的一个非常强大的功能。
因为它是 psr-7 兼容的,所以您可以独立于 slim 将中间件与任何 psr-7 中间件调度系统一起使用,该系统使用 function($request, $response, $next) 的中间件签名,其中返回响应。