Yii的csrf验证

最新推荐文章于 2021-08-05 16:11:23 发布
最新推荐文章于 2021-08-05 16:11:23 发布
阅读量8.2k 收藏 1
点赞数
分类专栏: Yii PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dotuian/article/details/9187031
版权
PHP 同时被 2 个专栏收录
32 篇文章 0 订阅
订阅专栏
Yii
5 篇文章 0 订阅
订阅专栏
在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。
只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。
 
    'components'=>array(
        'request'=>array(
            // Enable Yii Validate CSRF Token
            'enableCsrfValidation' => true,
        ),
    ),
将enableCsrfValidation设置为true了之后,Yii在生成页面的时候,如果表单的提交方式为POST,是都会在页面中添加一个隐藏字段 
<div style="display:none"><input type="hidden" value="a429b6c0f4468db23a5661d1682db537fe2672c7" name="YII_CSRF_TOKEN" /></div>
为GET时,需要自己手工地在页面添加上述的隐藏字段。 
<input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" />
用户在提交表单的同时,将该字段提交给服务器端,Yii框架会将该有客户端提交过来的隐藏字段和客户端提交过来的Cookie中的YII_CSRF_TOKEN值进行比较。
相同则通过继续执行,不相同则会提示错误" The CSRF token could not be verified."。

上面的方法是将客户端提交过来的值和客户端的Cookie中的值进行比较。
并不是最为安全的方法。目前更为安全的方式,是将客户端提交过来的值和Session中的值进行比较,
这就需要重写CHttpSession类了。具体步骤如下:
1.重写CHttpSession。
创建一个类HttpSession重写CHttpSession,并将该类存放在 protected/components 下。
复写 getCsrfToken() 和 validateCsrfToken($event) 方法。
 
private $_csrfToken;
// 
public function getCsrfToken()
{
    if($this->_csrfToken===null)
    {
        $session = Yii::app()->session;
        $csrfToken=$session->itemAt($this->csrfTokenName);
        if($csrfToken===null)
        {
            $csrfToken = sha1(uniqid(mt_rand(),true));
            $session->add($this->csrfTokenName, $csrfToken);
        }
        $this->_csrfToken = $csrfToken;
    }
 
    return $this->_csrfToken;
}
// 
public function validateCsrfToken($event)
{
    if($this->getIsPostRequest())
    {
        // only validate POST requests
        $session=Yii::app()->session;
        if($session->contains($this->csrfTokenName) && isset($_POST[$this->csrfTokenName]))
        {
            $tokenFromSession=$session->itemAt($this->csrfTokenName);
            $tokenFromPost=$_POST[$this->csrfTokenName];
            $valid=$tokenFromSession===$tokenFromPost;
        }
        else
            $valid=false;
        if(!$valid)
            throw new CHttpException(400,Yii::t('yii','The CSRF token could not be verified.'));
    }
}
2.修改配置文件main.php 
	'components' => array(
	    'request' => array(
	        'class' => 'application.components.HttpRequest',
	        'enableCsrfValidation' => true,
	    ),
	),







dotuian
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提交表单报400错误,提示 “您提交的数据无法验证
aa545785的博客
10-07 2187
提交表单报400错误,提示 “您提交的数据无法验证” 原来是csrf验证的问题,因为表单是自己写的,在Yii框架中,为了防止csrf攻击,对post的表单数据封装了CSRF令牌验证。 解决办法关闭csrf验证 frontend/config/main-local.php中 方法一、在配置文件中关闭 'components'=>array( 'request'=...
YII 配置文件,不同的环境不同的配置
hudeyong926的专栏
04-12 682
浅析:CSRF攻击原理过程和处理方式
rusi__的博客
11-10 834
摘要 网上有很多关于csrf的介绍文章(互抄),致使其解释要么冗余,要么晦涩,要么错误百出,所以本文重在通俗解释,核心解释。 有部分内容参考他人博客,侵删。 CSRF:跨站请求伪造 CSRF攻击原理及过程: 1、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站...
yii _csrf 验证,解决
清晨的一缕阳光
07-31 2131
解决POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ] 第一种解决办法是关闭Csrf public $enableCsrfValidation = false;   第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) 在main.php文件里面 'request' =&gt; [ 'csrfParam' =&g...
yii防护csrf攻击
zhangzhangdan的博客
07-23 892
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 431
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
CSRF token 无法被验证. ----Yii连接数据库后数据库错误日志报错
weixin_30335575的博客
12-26 252
CSRF token 无法被验证. 我使用的是mongodb+ yii1.1 What is CSRF, please see the details here. http://en.wikipedia.org/wiki/Cross-site_request_forgery In Yii, how to start the CSRF authorization? It is very ea...
Yii中的csrf
chenzhao635的专栏
04-20 178
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
yii2局部关闭(开启)csrf验证的实例代码
12-20
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。 (1)全局使用,我们直接在配置文件中设置enableCookieValidation为true request => [ '...
Yii核心验证器api详解
10-21
主要介绍了Yii核心验证器api,结合实例形式详细分析了Yii核心验证器(Core Validators)API相关方法与使用技巧,需要的朋友可以参考下
Yii框架表单模型和验证用法
10-22
主要介绍了Yii框架表单模型和验证用法,结合实例形式分析了Yii表单模型的原理及验证器的使用技巧,需要的朋友可以参考下
Yii2验证器(Validator)用法分析
10-21
主要介绍了Yii2验证器(Validator)用法,结合实例形式分析了Yii2验证器(Validator)的相关功能、格式、使用方法及注意事项,需要的朋友可以参考下
Yii2的csrf token验证
诗与远方_
10-15 1518
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
Yii 在控制器具体方法中关闭csrf验证
win_von的博客
12-12 696
我们知道如何中控制器中关闭csrf验证; public $enableCsrfValidation=false;   那如果,需要关闭控制器某些方法的csrf验证该如何处理呢?  控制器都继承 yii\web\Controller的话,那么你可以在该控制器下如下操作 class PublicController extends Controller { private ...
How to use CSRF in Yii automatic.与csrf token 无法被验证
大头爸爸的博客
04-17 6616
What is CSRF, please see the details here. http://en.wikipedia.org/wiki/Cross-site_request_forgery In Yii, how to start the CSRF authorization? It is very easy to do that. Just add this to main.php
Yii框架防止sql注入,xss攻击与csrf攻击的方法
大洋
06-29 498
1、sql注入 、xss攻击 /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); ...
yii2CSRF验证
czh0423的专栏
07-17 2812
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4585
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2的csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii2 关于csrf
weixin_30535167的博客
12-02 104
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
YII_CSRF_TOKEN
最新发布
04-05
在主配置文件中进行简单的配置,启用YiiCSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值