参考资料:http://www.cnblogs.com/ganiks/p/yii2-request-csrf-safe-strategy.html
程序盗取cookie,然后通过程序攻击网站,被称为xss攻击,譬如 产品加入购物车
对于账号注册,加入验证码来防范意外,可以通过CSRF防范
攻击原理:
yii防范流程图:
使用步骤:
1.加入配置
2.在layout文件的head中加入:
'components' => [
'request' => [
'enableCookieValidation' => true,
'enableCsrfValidation' => true,
'cookieValidationKey' => 'sdredf#@#@',
],
]
<?= Html::csrfMetaTags() ?>
3.
在提交的form表单中一定需要加入:
<?php $request = Yii::$app->getRequest(); ?>
<input type="hidden" value="<?= $request->getCsrfToken(); ?>" name="<?= $request->csrfParam; ?>">
通过这个隐藏的csrf参数,来传递。