在代码中,我已经看到了这一个登录页面创建令牌:原因在HTML表单使用令牌和PHP校验码
$token = $_SESSION['token'] = md5(uniqid(mt_rand(),true));
那么这个令牌回荡在一个隐藏的输入登录表单和提交的,用于验证登录的php代码还检查此令牌,如:
public function isTokenValid()
{
return (!isset($_SESSION['token']) || $this->_token != $_SESSION['token'])? 0 : 1;
}
此令牌的用途是什么?
编辑:该页面介绍它的使用:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
谢谢。这个页面清楚地告诉了这个令牌方法:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet –