yii2 XSS攻击 - CSRF防范策略

最新推荐文章于 2021-05-23 20:22:47 发布
最新推荐文章于 2021-05-23 20:22:47 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Yii2 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/terry_water/article/details/39830059
版权

参考资料:http://www.cnblogs.com/ganiks/p/yii2-request-csrf-safe-strategy.html

程序盗取cookie,然后通过程序攻击网站,被称为xss攻击,譬如 产品加入购物车 

对于账号注册,加入验证码来防范意外,可以通过CSRF防范

攻击原理:






yii防范流程图:

yii2-csrf-yii-request


使用步骤:
1.加入配置 
'components' => [
'request' => [
			'enableCookieValidation' => true,
			'enableCsrfValidation' => true,
			'cookieValidationKey' => 'sdredf#@#@',
		],
]

2.在layout文件的head中加入: 

<?= Html::csrfMetaTags() ?>

3.

在提交的form表单中一定需要加入:

<?php $request = Yii::$app->getRequest();  ?>
<input type="hidden" value="<?= $request->getCsrfToken(); ?>" name="<?= $request->csrfParam;  ?>">
通过这个隐藏的csrf参数,来传递。


TerryWater
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii2 XSS 防范策略
wjtlht928的专栏
06-08 802
XSS 漏洞修复 原则: 不相信客户输入的数据 注意: 攻击代码不一定在《script》《/script》中 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。 对数据进行Htm
yii2框架开发之安全xsscsrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8003
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
yii2过滤xss代码,防止sql注入教程
luyaran的博客
12-05 2063
实际开发中,涉及到的语言也好,框架也罢,web安全问题总是不可避免要考虑在内的,潜意识中的考虑。 意思就是说喃,有一条河,河很深,在没办法游过去的情况下你只能沿着河上唯一的一座桥走过去。 好啦,我们看看在yii框架的不同版本中是怎么处理xss攻击,sql注入等问题的。 啥啥啥,xss是啥,sql注入又是啥?哦我的天呐,不好意思,我也不知道,这个您问问小度小哥都行,随您。 通俗的说喃,就是两
YII2框架学习 安全篇(二) XSS攻击防范(下)
混血王子的博客
06-19 2707
坚持写博客真不容易,618抢购中断了一波就不想写了。接着XSS攻击防范(上)继续讲基于反射的XSS攻击。 1)非法转账(基于反射的XSS攻击) 上周说的yii框架会让浏览器自动过滤js代码是不太准确的,一般是把js代码重新编码并加双引号变成字符串了。 但是,要注意的一点是防止js代码越狱,脱离编码和双引号。类似于",alert(3)//" 这种。这种时候只要把双引号也重新编码就可以防止越狱
yii2视图防xss攻击
zhangzhangdan的博客
07-12 700
XSS攻击:跨站脚本攻击(Cross Site Scripting)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。在控制器层用户输入了一个javascript代码,若未做处理,则会直接以javascript方式输出,这样就存在安全隐患我们可以在视图层这样过滤此代码攻击:那浏览器输出格式是怎...
YII2框架学习 安全篇(一) XSS攻击防范(上)
混血王子的博客
06-15 2454
在如今的web开发中,网络安全,信息安全应该是最重要的一环。常见的攻击主要有四类,XSS攻击CSRF攻击、SQL注入和文件上传漏洞。在接下来的安全篇里,我会依次说明YII框架是如何应对这些攻击的。本篇要学习的就是XSS攻击防范之存储。 XSS攻击的意思是跨站脚本攻击,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包
Yii2XSS攻击防范策略分析
10-21
主要介绍了Yii2XSS攻击防范策略,较为详细的分析了XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
Yii2Request看其CSRF防范策略
01-30
先画一幅流程图理理思路:今天在处理一个这样的需求,在app\...而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过帖子下面的帖子找到了问题的所在,是CSRF验证的原因;因为Web网页访问的时候f
yii2-app-basic:Yii 2.0基本应用模板
05-05
Yii 2基本项目模板Yii 2基本项目模板是最基础的应用程序,最适合快速创建小型项目。 该模板包含基本功能,包括用户登录/注销和联系页面。 它包括所有常用配置,使您可以专注于向应用程序添加新功能。目录结构 assets...
yii2-multiple-input:用于处理模型属性的多个输入的 Yii2 小部件
05-29
Yii2 多输入小部件。 Yii2 小部件用于处理模型属性的多个输入和批量模型的表格输入。最新发布最新的稳定版扩展是 v2.24.0 按照从以前的版本升级安装安装此扩展的首选方法是通过 。 无论运行 ...
yii2视图参数xss攻击脚本过滤
成长中de大神
06-22 1072
视图参数xss攻击脚本过滤 class HomeController extends Controller { public function actionIndex() { $data = [ 'str' =&amp;amp;gt; 'hello world &amp;amp;lt;script&amp;amp;gt;alert(1)&amp;amp;lt;/script&amp;amp;gt;',
Yii框架防止sql注入,xss攻击csrf攻击的方法
大洋
06-29 497
1、sql注入 、xss攻击 /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); ...
九、 Yii2 视图参数XSS攻击脚本过滤
汪学友的博客
05-23 148
<?php /** * 字符串过滤 * Html::encode 原样输了 * HtmlPuriFile::process 去掉标签全部内容 **/ use \yii\helpers\Html; use \yii\helpers\HtmlPurifier; ?> <h1><?=Html::encode('<script>alert(1)</script>')?></h1> <p><?=HtmlPurifier::pr
yii2过滤xss代码,防止sql注入
weixin_34419321的博客
03-09 407
两个原则问题:1、表单提交内容,想安全的存入数据库2、想安全的对数据进行输出 <?= \yii\helpers\Html::encode($title) //纯文本 ?><?= \yii\helpers\HtmlPurifier::process($content) //html显示的文本 ?> 转载于:https://blog.51cto.com/13238147/2...
浅谈csrf攻击以及yii2对其的防范措施
weixin_34050005的博客
06-05 127
凡是我yii2学习社群的成员都知道,我不止一次给大家说构造表单100%使用yii2的ActiveForm来实现,这除了能和AR更好结合外就是自动生成csrf隐藏域,一个非常安全的举措。 今天北哥就给大家普及下csrf是啥?如果你已经知道了可以直接拉文章到底部点个赞。:smile: CSRF(Cross-site request forgery跨站请求伪造)是一种对网站的恶意利用,在 2007 ...
Yii防止sql注入、xxs方法
ZYallers
04-04 1945
解决办法有好几种。最简单的就是用param binding,请阅读PHP PDO获得相关知识。如果知道id是整数,也可以先把输入强制为整数。或者如果id是字串,可以用CDbConnection::quoteValue()把输入加上引号。如果你用的是AR,那么save()函数自动会使用param binding。如果你用findAll()之类的函数,自己生成condition部分,那就要特别小心不要
Yii2.0学习笔记(一)之Yii2.0起步
u010396617的博客
02-07 565
Yii2.0起步 Yii2.0是一个关于PHP的框架,可以在下面两个网站进行学习:(注意,最高版本必须支持PHP5.4.0) http://www.yiichina.com/ http://www.yii-china.com/ 一·Yii2.0有两种安装形式: 1.采用composer进行安装,如果熟悉了,一般都是用这种方式操作 2.采用下载归档文件的形式进行 其中
yii2-admin 获取当前登录用户角色
最新发布
05-13
要获取当前登录用户的角色,需要使用Yii2中的身份验证和授权组件。首先,确保您已经正确配置了身份验证和授权组件。 然后,在您的控制器或视图中,您可以使用以下代码获取当前登录用户的角色: ```php use Yii; $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值