yii2.0源码实现csrf验证

最新推荐文章于 2023-01-14 14:37:51 发布
最新推荐文章于 2023-01-14 14:37:51 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: php 文章标签: yii php csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w15249243295/article/details/52757142
版权
在yii\helpers\Html beginForm创建表单的时候,加入了csrf_token,name=_csrf-backend,type=hidden。这部分代码并不是很麻烦,这里就不再介绍了。下面主要介绍的是yii是怎么进行csrf验证的。 

class Request
{
    /**
     * csrf token mask的长度
     */
    const CSRF_MASK_LENGTH = 8;
    private $_csrfToken;


    /**
     * @param bool $regenerate true每次都重新生成csrfToken,如果为true每次也都会生成token
     * @return mixed 返回csrfToken
     */
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {
            //重新生成token或者从cookie或session中读取之前的token
            if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
                $token = $this->generateCsrfToken();
            }
            // the mask doesn't need to be very random
            $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
            /*
             * 这里的static可以用self替换,php官网上解释5年以前是static当作self再用。
             * str_repeat将目标字符串重复多少次
             * str_shuffle随机打乱字符串顺序
             */
            $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);


            //base64_encode 使二进制数据可以通过非纯 8-bit 的传输层传输
            $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
        }


        return $this->_csrfToken;
    }




    /**
     * 返回两个字符串异或的结果,返回的应该是byte类型的。
     * @param $token1 $token
     * @param $token2 $mask
     * @return 
     */
    private function xorTokens($token1, $token2)
    {
        $n1 = StringHelper::byteLength($token1);
        $n2 = StringHelper::byteLength($token2);
        if ($n1 > $n2) {
            $token2 = str_pad($token2, $n1, $token2);
        } elseif ($n1 < $n2) {
            $token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1);
        }


        return $token1 ^ $token2;
    }


    /**
     * 获取token
     * @return mixed
     */
    protected function loadCsrfToken()
    {
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        } else {
            return Yii::$app->getSession()->get($this->csrfParam);
        }
    }


    /**
     * 验证csrfToken
     * @param $token
     * @param $trueToken
     * @return bool
     */
    private function validateCsrfTokenInternal($token, $trueToken)
    {
        if (!is_string($token)) {
            return false;
        }


        $token = base64_decode(str_replace('.', '+', $token));
        $n = StringHelper::byteLength($token);
        if ($n <= static::CSRF_MASK_LENGTH) {
            return false;
        }
        $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
        $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
        $token = $this->xorTokens($mask, $token);


        return $token === $trueToken;
    }
}

整个的过程是:

通过session或者cookie里面保存的是csrf的明文token,通过一个随机的mask,以一定的规则(异或)加密token,同时将mask拼接到加密token上,因为异或操作使用到了byte,为了方便传输,需要base64_encode()生成新的csrf_token放到表单当中。
验证的时候,base64_decode()解码csrf_token,根据设定的mask长度截取csrf_token得到mask,然后再截取剩下的得到的是加密token,

mask与加密token做异或操作得到原来明文token(因为a异或b等于c,b异或c等于a),与session或cookie中的明文token验证。


上面我有一点不太懂的就是在操作base64_decode()得到的token的时候,为什么都是用mb_strlen(),mb_substr()。可能是异或生成的字符串的编码问题了。。。就写到这里吧,懂了我再更新好了。

Breath-Freely
关注
专栏目录
yii2.0的csrf问题
Harakin的博客
10-25 458
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
Yii2.0 探究三 :用户登录机制
LLopensorce的博客
11-28 6237
前言:做后台管理的首要任务当然是登陆、注册;就yii来说,它为我们封装好了用户的验证方法,验证过程,所以,我们要做的就是模仿,既然接触了这个框架,就要照这个框架来思考,也就是Tink in YII,用自身的验证而不自己验证的方法有以下几点好处:一、为什么推荐你用自带的登陆? yii2.0框架为我们封装好了用户的信息; 比如: \Yii::$app->user->isGust 判断是否为访客
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
Yii框架的CSRF验证
bayren820的博客
01-10 512
Yii框架的CSRF验证
yii2 关于csrf
weixin_30535167的博客
12-02 111
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
Yii2.0防御csrf攻击方法
09-05 1266
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的 通过查阅资料发现,这是CRSF验证的原因 原理: Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COO
yii网站源码
07-10
5. **身份验证和授权**:Yii提供了基于角色的访问控制(RBAC),方便实现用户权限管理。 6. **缓存管理**:支持多种缓存策略,包括文件缓存、数据库缓存、APC、Memcached和Redis,有助于提升网站响应速度。 7. **...
Yii Framework v2.0.49.3.zip
最新发布
04-10
5. **安全特性**:Yii 内置了防止 SQL 注入、XSS 攻击的安全措施,还有身份验证、授权和CSRF防护,确保应用程序的安全性。 6. **RESTful API 支持**:Yii 2 提供了强大的 RESTful API 开发工具,使得构建和消费 Web...
YII后台源码
01-11
6. **安全**:理解并实施 Yii2 的安全措施,如 CSRF 防护、XSS 防御、输入验证等。 7. **缓存**:利用 Yii2 的缓存机制提高应用程序的性能。 8. **API 开发**:如果后台需要支持 RESTful API,了解如何创建和测试 ...
老爷车yii点位盘 乐酒商城系统微盘源码+完整数据
03-04
Yii是一个高性能的、适用于开发Web2.0应用的PHP框架,它提供了丰富的特性,如MVC(模型-视图-控制器)、DAO/ActiveRecord、I18N/L10N、缓存、身份验证和基于角色的访问控制、脚手架、测试等。在这款源码中,我们主要...
csrf攻击防御 php,Yii2.0防御csrf攻击方法
weixin_28748675的博客
03-10 187
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过查阅资料发现,这是CRSF验证的原因原理:Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的...
yii2.0 局部关闭csrf,让应用的回调可以post
钾盐的博客
08-29 538
首先新建一个 Behavior   在所在应用中 components(如果没有就新建一个文件件),然后在里面新增一个行为,暂叫做 nocsrf. <?php namespace mobile\components; use Yii; use yii\base\ActionEvent; use yii\base\Behavior; use yii\web\Controller; cl
Yii 2 —— Backend自动出现登录页
weixin_34221036的博客
11-09 335
1.1  Backend自动出现登录页用http://backend/访问后端时,页面会自动被重定向到http://backend/index.php?r=site%2Flogin,要求进行登录,这其中的流程是怎样的? 按照YII的理念,框架在处理http://backend/这种链接时,首先要找到默认的controller,然后再找默认的action。1.1.1  获取默认controller在...
yii2框架-yii2局部关闭(开启)csrf验证 ------ 400错误
梦情与你的博客
03-07 518
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
yii _csrf 验证,解决
清晨的一缕阳光
07-31 2154
解决POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ] 第一种解决办法是关闭Csrf public $enableCsrfValidation = false;   第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) 在main.php文件里面 'request' =&gt; [ 'csrfParam' =&g...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yinjiyufei的博客
01-14 3274
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yii2高级版,退出的时候报400错误。
一杯苦恰啡的博客
05-15 549
前后台分理离需要在各自的配置文件main.php中设置component的user组件中identityCookie参数和idParam参数,否则当管理员登录了前台的账号的时候,再登录后台,前台账号的会话信息会被覆盖。 前台frontend配置如下:components=>[ 'user'=>[ 'identityClass' => 'frontend\models\Use
yii2框架-restful的请求参数token验证(二十三)
bingcool
08-06 1万+
最近出行市场发生一件大事:滴滴收购uber中国,两者正式联姻。对于这次的收购合并,其实对于滴滴和uber来说都是双赢的。两者在市场的竞争中已经烧了不少的钱,而且uber的股东也建议TK(uber创始人)和滴滴讲和,不能在这样子无尽烧钱,毕竟人家投资人是要挣钱的。滴滴目前可以说是已经是国内的出行市场的老大了,乐视投资的”易到“已经是基本边缘化的了。滴滴和uber的联姻都可以说明到过去的创业独角兽以前...
yii2-restful的全局认证和局部认证的接口设置
bingcool
01-13 5898
yii2在使用restful作为接口的时候,yii\rest\Controller中已经把全局的csrf验证设置为false,public $enableCsrfValidation = false;也就是在post数据的时候,不会在进行_csrf参数的验证。那么在开发restful接口的时候,比如一个app的服务端restful接口,用户分为游客和登录用户,一开始,游客打开这个app的时候,他并...
Yii2.0 GridView实现两表联查、搜索与分页详解
"Yii2.0小部件GridView用于实现两表联查、搜索和分页功能的代码示例。在Yii2.0框架中,GridView是常用的数据展示工具,能够方便地处理复杂的数据操作,如关联查询、筛选和分页。" 在Yii2.0框架中,GridView是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值