Zend CSRF 哈希代码检查是自动处理的吗？

Question

我已将以下代码添加到我的登录表单中

$csrf = $this->createElement('hash', 'csrf', array('salt' => 'unique'));

，在控制器操作中我

if (!$admin_login_form->isValid($_POST)) {
    //Throw Error
}else{
    // Redirect to index
}

现在的问题是 Zend 是否自动处理哈希代码检查，或者我们是否必须手动编写一些代码来验证它？

Answer 1

答案是否定的。您无需执行任何操作来检查哈希值是否有效。

当您创建 Zend_Form_Element_Hash 元素时，它会自动将验证器（使用 Zend_Validate_Identical）添加到您的表单中，并将您的哈希注册到新的命名空间会话中。

之后，一旦调用 isValid() 方法，如果页面渲染时会话中存储的 CSRF 与上次请求中发送的 CSRF 不同，则相同验证器将失败并返回错误。

编辑：
此外，您可以向元素添加盐，并将根据以下加密生成哈希：md5(mt_rand(1,1000000) . $this->getSalt() . $this->getName( mt_rand(1,1000000)。

要回答评论中的第二个问题，两个元素不会导致任何会话冲突，因为命名空间用于存储散列由三个标准定义：

1. 类名
2. salt
3. 元素名称

例如，您的元素可能存储在以下名称空间下：“Zend_Form_Element_Hash_unique_ hash”，其中“unique”是 salt 值和散列你的元素名称。