php 伪造跨站请求保护 CSRF原理

在生成表单的时候，为防止表单重复提交。在form表单中添加一个隐藏的input标签来存放令牌，等到提交的时候，和表单一起提交。提交以后和生成的session值或者cookie作比较，通过这种方式来达到防止重复提交的目的。

session为例：

html端

<form action="1.php" method="post">
 <input type="hidden" value="<?php echo $_SESSION["token"]?>" name="token">
 <input type="submit" value="提交" />

php端

if($_POST){
     if($_SESSION["token"]!=$_POST["token"]){
         die("非法提交！");
     }else{
         echo "安全提交!";
     }
 }
 $_SESSION["token"]=md5(rand(1,999));//没生成一次表单，修改一次值，不要在post处理前修改它，不然无法比对