官方文档

页面使用

  1. <input type="hidden" name="__token__" value="{:token()}" />
  2. // 也可使用以下写法
  3. {:token_field()}

默认的令牌 token 名称是 __token__,如果需要自定义名称及令牌生成规则可以使用:

  1. {:token_field('__hash__', 'md5')}

如果是 AJAX 提交的表单,可将 token 设置在 meta 中:

  1. <meta name="csrf-token" content="{:token()}">
  2. // 也可使用以下写法
  3. {:token_meta()}

然后在全局 Ajax 中使用这种方式设置 X-CSRF-Token 请求头并提交:

  1. $.ajaxSetup({
  2.     headers: {
  3.         'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content');
  4.     }
  5. });

当然,也可直接提交 __token__ 值到服务器:

  1. <form>
  2.     <input type="hidden" name="__token__" value="{{:token()}}">
  3.     <input type="text" name="name" value="">
  4.     <input type="text" name="content" value="">
  5. </form>
  7. <script type="text/javascript">
  8.     $.ajax({
  9.         url: '',
  10.         type: 'post',
  11.         data: {
  12.             __token__: $('input[name="__token__"]').val(),
  13.             name: $('input[name="name"]').val(),
  14.             content: $('input[name="content"]').val(),
  15.         },
  16.         success: function(data) {
  17.             console.log(data);
  18.         }
  19.     })
  20. </script>

验证器验证

在验证器中添加 token 的验证:

  1. <?php
  2. namespace app\admin\validate;
  3. use think\Validate;
  5. class Article extends Validate
  6. {
  7.     protected $rule = [
  8.         'name' => 'require',
  9.         'content' => 'require',
  10.         '__token__' => 'token'
  11.     ];
  13.     protected $message = [
  14.         'name.require' => 'name不能为空',
  15.         'content.require' => 'name不能为空',
  16.         '__token__.token' => '重复提交,请刷新页面',
  17.     ];
  19.     protected $scene = [
  20.         'update' => ['name', 'content', '__token__'],
  21.     ];
  22. }

注意上述示例中 __token__ 的位置,我习惯把 __token__ 放在最后位置。这样可以避免 Ajax 二次提交 token 验证不通过的问题。