Zend Form -一个页面中的多个表单和(CSRF)令牌验证

Question

我使用Zend-Form在我的项目中生成表单。

首先:如何处理同一页上的多个表单，并且只发布提交的表单？

第二:当我在同一页上有两个表单时，令牌将只验证HTML中最上面呈现的表单。第二个表单get出现"Token not match“错误，从而导致表单无法发布。如何为每个表单提供一个不与其他表单冲突的唯一令牌？

诚心，为什么？

Answer 1

当我在同一页上有两个表单时，令牌将只验证

中最上面呈现的表单。第二个表单get出现"Token not match“错误，从而导致表单无法发布。如何为每个表单提供一个不与其他表单冲突的唯一令牌？

当前implementation (请参阅initCsrfValidator)不能在多个表单上使用令牌。

我建议您生成自己的令牌，将其存储在会话中(使用表单ID)，然后自己验证它。

Answer 2

在尝试使用Zend_Form_Element_Hash将两个表单放在同一页面时，我发现了这个问题。有两种方法可以实现这一点，它们都是mentioned in the documentation

哈希元素的名称应该是唯一的。我们建议对元素使用salt选项-两个同名不同盐的散列不会冲突

所以..。

1. 为每个Hash element使用唯一的名称
2. 为每个Hash element

使用唯一的Salt值

Answer 3

我也遇到了同样的情况

当我在同一页上有两个表单时，令牌将只验证

中最上面呈现的表单。第二个表单get出现"Token not match“错误，从而导致表单无法发布。如何为每个表单提供一个不与其他表单冲突的唯一令牌？

一种可能的解决方案是只有一个单独的表单用于令牌生成和验证。然后，在HTML中，每个表单都有自己的token元素，但具有相同的值。如果提交一个表单，则使用用于生成该表单的表单验证此令牌元素。如果您混合使用ajax表单和经典的POST表单，那么可以在响应中发送一个新的令牌，并将其分配给每个令牌元素。

//Finally set the response token
    $form->getElement('token')->render();   //Need to call render in order to regenerate the token
    $response['token'] = $form->getElement('token')->getValue();
    $this->_helper->json($response);

在jquery中，你可以使用$('._token').val(response.token)

事实上，这非常简单，甚至比必须为每个表单添加一个Zend_Form_Element_Hash都要好。