- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我在让安全组件验证已发布的表单时遇到问题,并且它一直在黑洞操作。查看代码,我发现哈希标记不匹配。
在发布的表单中,只有一个字段被验证(在 Security::_validatePost 中)被锁定。但是我在查找 Form->create token 的生成位置以及生成方式时遇到了问题。
标记不匹配的典型原因是什么?我应该在哪里检查 cake 如何生成标记 ['_Token']['fields'] 和 ? (使用蛋糕 2.3.7)。该表单也使用了 ajax 验证。
编辑:当我从 Security::generateToken 中转储 $token 值时,它看起来像
Array ( [key] => ddc88faacf41985f41359ff99d9c6f87549611c7 [allowedControllers] => Array ( )
[allowedActions] => Array
(
)
[unlockedFields] => Array
(
)
[csrfTokens] => Array
(
[f8c40609a0a86db23bfa5ea2d258723d3caff55a] => 1375207459
[084c3363363591c3024c59452899a2f4f60ecf99] => 1375207655
[0344c686c549927c1e27729ae95d879a4034bdab] => 1375207678
[dfb940ec034e82b10f7b3cc5677734da6896dfbc] => 1375207762
[ddc88faacf41985f41359ff99d9c6f87549611c7] => 1375207791
)
然而,对于创建的表单,当表单发布时,Security::_validatePost 中的 token 是
token=6521bb362f8323e8f871814fc5d37a79c93e294e check=e8c40d174a23e8797d906d6e381a9a0acc1425ed
token取自哪里
$check = $controller->request->data;
$token = urldecode($check['_Token']['fields']);
检查后来被重新定义为:
$check = Security::hash(serialize($fieldList) . $unlocked . Configure::read('Security.salt'), 'sha1');
然后比较$token 和$check 为假导致黑洞。
最佳答案
我发现有一个字段没有被添加到 POSTED 表单字段的列表中,因为它是一个未选中的 CHECKBOX(请参阅下面的编辑)。我想我会概述一个通用的调试过程,以帮助人们解决安全表单验证问题。
为了查看机制,我深入研究了代码,以查看 FormHelper 散列是如何创建的,以及 SecurityComponent 验证如何检查散列。以下是如何准确了解幕后发生的事情。
检查 FormHelper 的输入。 打开 CORE/Cake/View/Helper/FormHelper.php。在 secure() 函数中,在 $files=Security::hash 行周围添加一些 pr 行以查看 token 是如何构建的:
pr($fields);//hashed into computed token on next line
$fields = Security::hash(serialize($fields) . $unlocked . Configure::read('Security.salt'), 'sha1');
pr($unlocked); //hashed into computed token
pr(Configure::read('Security.salt')); //hashed into computed token
pr($fields); //computed token passed via hidden token field in form
检查表单是如何处理的现在检查提交的表单是如何处理的,并与传递的 token 进行比较:打开 CORE/Cake/Controller/Component/SecurityComponent.php。在最后的 _validatePost() 例程中插入一些 pr 行:
pr($fieldList); //hashed into computed token
pr($unlocked); //hashed into computed token
pr(Configure::read('Security.salt')); //hashed into computed token
pr($token); //passed token from FormHelper
pr($check); //computed token
希望这可以帮助遇到锁定/解锁或丢失字段问题的其他人快速弄清楚蛋糕内部发生了什么。
编辑:导致问题的字段是 CHECKBOX。当用户未选择该字段时,POST 操作不会提交该字段。缺少的字段会导致 SecurityComponent 验证失败。为了避免在复选框上出现这种情况,请将此添加到表单中:
$this->Form->unlockField('checkbox.field.name');
关于forms - 用于验证表单发布数据的 CakePHP 安全组件 token 不同 -> 黑洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17953577/
我在 mongodb 中的玩家和锦标赛之间存在多对多关系。 我希望能够一次将许多玩家添加到锦标赛中。如果没有 ajax,这很简单,但我们有一个包含数千名玩家的数据库,因此表单选择变得巨大。 我们想为此
这个问题已经有答案了: When should I use html's and when spring's in Spring MVC web app? (3 个回答) 已关闭 6 年前。 我正
我正在 C++ Builder XE4 上使用 VCL。 我有以下组件。 FormMain 具有 TButton *B_select; FormSelect(或DialogSelect)具有 TCom
如何在不影响表单控件的情况下更改表单的 alphablend? 德尔福XE7 最佳答案 此问题的一个解决方案是使用多设备应用程序(如果无法使用VCL)。 如果您需要保留透明的TForm,只需更改属性T
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我正在尝试扩展 Django 注册以包含我自己的注册表单。原则上这是相当简单的。我只需要编写自己的表单( CustomRegistrationForm ),它是原始表单( RegistrationFo
我正在尝试为我的网站实现聊天功能。为了做到这一点,我遵循了以下教程:https://channels.readthedocs.io/en/latest/tutorial/ 然后我稍微更改了代码以实现它
有一个问题,我需要用一个 html 表单提交两个相互关联的模型表单。我知道如何提交两个单独的表格,但是在相关模型表格的情况下外键让我发疯。 问题是,第二个表单应该用外键填充字段到第一个表单的实例。 在
我正在创建一个工具,允许某人输入食谱,然后将其保存为 XML 文件,我已经创建了 XSD,但我想知道如何在我的网页上制作一个表单以允许用户输入他们的食谱并遵守模式。我一直在研究 Ajax 和 Jque
在 .net win 表单(如 asp.net web 表单)中是否有可用的验证控件? 因为很难为我的每个控件设置正确的条件,所以我的表单中也有很多重复的代码。 正确的做法是什么? 最佳答案 看看这个
我有一个简短的问题。我正在学习如何使用 javascript 制作注册表,发现此链接非常有用。 http://www.w3resource.com/javascript/form/javascript
我正在开发一个项目,该项目将使用循环将许多表单添加到 mysql 数据库中。在 javascript 部分中,我无法让 var i 在函数 updatesum() 中工作。有人可以帮我吗? 我试图避免
在我的应用程序上有一个包含 2 个字段和一个保存按钮的表单。 在我的 onClick 结束时我需要什么来将光标返回到第一个字段。 我有这个来清除它们 txtData.setText("
这个问题不太可能帮助任何 future 的访问者;它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况有关,这些情况并不普遍适用于互联网的全局受众。为了帮助使这个问题更广泛地适用,visit
<input type="text" name="textfield" onKeyPress="javascript:alert(event.
我正在构建的网站有一个登录表单,作为所有其他模板扩展的 base.html 模板的一部分;因此,我需要以某种方式处理每个页面上的登录/注销逻辑。 目前每个页面都在单独的 View 中加载,那么实现它的
我有一个表单类,看起来像.. #forms.py class ExampleForm(forms.Form): color = forms.CharField(max_length=25)
有没有办法在表单定义中给表单一个特殊的错误渲染函数?在 customizing-the-error-list-format 下的文档中它展示了如何为表单提供特殊的错误呈现函数,但似乎您必须在实例化表单
我正在处理由多个页面组成的表单,我想解决验证问题。 当我点击提交按钮时,当前页面上的所有字段都会在下方显示错误消息,但是如果我更改页面,那么我需要再次点击提交,因为这些字段未设置为已触摸。 如果我可以
是否可以附加到继承表单的 exclude 或 widgets 变量? 到目前为止,我有以下设置。 class AddPropertyForm(forms.ModelForm): num_mon
我是一名优秀的程序员,十分优秀!