yii2.0的csrf问题

最新推荐文章于 2021-08-25 21:33:09 发布
最新推荐文章于 2021-08-25 21:33:09 发布
阅读量473 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Harakin/article/details/78339496
版权
本文深入探讨了Yii2.0框架中的CSRF(跨站请求伪造)保护机制,介绍了如何在表单中正确添加隐藏域以确保数据安全。通过实例解析,帮助开发者理解并应用CSRF防护策略。
摘要由CSDN通过智能技术生成

1.可以在form表单中传一个隐藏域

<input name="_csrf-frontend" type="hidden" id="_csrf" value="<?= \Yii::$app->request->csrfToken ?>">


2.在ajax传值时可以在header中传csrf的值
headers:{"<?php echo \yii\web\Request::CSRF_HEADER.'":"'. \Yii::$app->getRequest()->getCsrfToken();?>"},

 

通过和前台传过来的csrf对比,来验证csrf是否正确
 



 

 

 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  Harakin
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
Yii 2.0进阶版 高级组件 优化京东平台

				
			

			

				

					04-25
				

			

		

		

			
				
5. **安全实践**:理解 Yii 的安全特性,如 CSRF 防护、输入验证、用户认证和授权。 6. **API 设计与调用**:如果涉及到与京东平台的 API 交互,需要了解 RESTful API 设计原则和 JSON 格式的数据交换。 7. **错误...

			
		

	



                

            
              



	

		

			

				
					
Yii2.0 PHP框架

				
			

			

				

					06-08
				

			

		

		

			
				
4. **安全特性**:Yii2.0提供了各种安全防护措施,如防止SQL注入、XSS攻击、CSRF保护,还有强大的认证和授权机制,如访问控制过滤器(Access Control Filter),确保了应用的安全性。  5. **国际化和本地化(I18N & ...

			
		

	



              


  
              

                


	

		

			

				
					
yii2.0源码实现csrf验证

				
			

			

				

					water的博客
				

				

					10-08
					
					1362
					
				

			

		

		

			
				
yii\helpers\Html beginForm创建表单的时候,加入了csrf_token,name=_csrf-backend,type=hidden。这部分代码并不是很麻烦,这里就不再介绍了。下面主要介绍的是yii是怎么进行csrf验证的。

class Request
{
    /**
     * csrf token mask的长度
     */
    const CSR

			
		

	





	

		

			

				
					
yii2 csrf

					
热门推荐

				
			

			

				

					haoke
				

				

					02-03
					
					5万+
					
				

			

		

		

			
				
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 
   http://www.o-xx.com

			
		

	



		

			
		



	

		

			

				
					
yii2 csrf可能会出现的问题

				
			

			

				

					buyue
				

				

					02-13
					
					647
					
				

			

		

		

			
				
csrf用于form一次提交没有问题,但是如果用于post就可能会有问题,如果在浏览器新建一个窗口打开页面就刷新csrf,之前页面csrf就会失效


https://segmentfault.com/q/1010000004450797

			
		

	





	

		

			

				
					
Yii2.0防御csrf攻击方法

				
			

			

				

					
				

				

					09-05
					
					1273
					
				

			

		

		

			
				
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的

通过查阅资料发现,这是CRSF验证的原因

原理:

Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COO

			
		

	





	

		

			

				
					
yii2 关于csrf

				
			

			

				

					weixin_30535167的博客
				

				

					12-02
					
					119
					
				

			

		

		

			
				
文章来自http://blog.crarun.com/article-7.html
在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。
只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。
 'components'=>array(
'request'=>array(
//EnableYiiValidate...

			
		

	





	

		

			

				
					
Yii 2.0 权威指南-10142017.pdf.tar.gz_Yii2.0_yes_yii框架

				
			

			

				

					09-23
				

			

		

		

			
				
5. **安全防护**:Yii 内置了多种安全防护机制,如输入验证、防止 SQL 注入、XSS 防御、CSRF 防护等,保障应用的安全性。  6. **RESTful API 支持**:Yii 2.0 支持构建 RESTful Web 服务,方便创建和消费 JSON 或 ...

			
		

	





	

		

			

				
					
yii2.0高级版

				
			

			

				

					10-22
				

			

		

		

			
				
Yii 2.0 高级版是一个专门为专业开发者设计的框架,它提供了全面的结构和工具,用于构建大型、复杂的Web应用。这个高级版模板包含了前端、后端、控制台组件,以及对开发环境的全面支持,使得开发过程更加高效和便捷...

			
		

	





	

		

			

				
					
learn_yii2:yii2.0Blog系统

				
			

			

				

					03-11
				

			

		

		

			
				
 - CSRF防护、XSS防护和SQL注入防御等安全机制都是Yii2.0的标准配置。  7. **表单处理**:  - 表单验证通过模型的规则定义完成,确保输入数据的有效性。  - 表单渲染和处理由视图和控制器协同完成,简化了前后端交互...

			
		

	





	

		

			

				
					
yii2.0 局部关闭csrf,让应用的回调可以post

				
			

			

				

					钾盐的博客
				

				

					08-29
					
					545
					
				

			

		

		

			
				
首先新建一个 Behavior
  在所在应用中 components(如果没有就新建一个文件件),然后在里面新增一个行为,暂叫做 nocsrf.

<?php
namespace mobile\components;

use Yii;
use yii\base\ActionEvent;
use yii\base\Behavior;
use yii\web\Controller;


cl

			
		

	





	

		

			

				
					
解决Yii2 启用_csrf验证后POST数据仍提示“您提交的数据无法验证”

				
			

			

				

					diandu3502的博客
				

				

					06-29
					
					322
					
				

			

		

		

			
				
CSRF 概念
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受...

			
		

	





	

		

			

				
					
Yii框架的CSRF验证

				
			

			

				

					bayren820的博客
				

				

					01-10
					
					526
					
				

			

		

		

			
				
Yii框架的CSRF验证

			
		

	





	

		

			

				
					
CSRF(跨站请求伪造)漏洞

				
			

			

				

					weixin_50464560的博客
				

				

					08-25
					
					1355
					
				

			

		

		

			
				
CSRF(Cross-site request forgery)
跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击

原理详解
攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作
漏洞危害
修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等
攻击条件

用户已登录存在CSRF漏洞的网站
用户需要被诱导打开攻击者构造的恶意网站

攻击过程

.

			
		

	





	

		

			

				
					
Yii中的安全防护

				
			

			

				

					Fhang
				

				

					12-07
					
					510
					
				

			

		

		

			
				
前言:最近有一份招聘,引起了我对网络安全的极大兴趣。非常感兴趣的决定研究下yii中的安全特性。在应用yii开发的时候知道怎么用安全特性,但一些原理没有去理会过。参考:http://blog.csdn.net/baidu_zhongce/article/details/50394178防SQL注入SQL 注入虽然是最低级的Web安全内容了。但还是说一下吧,yii中我们采用Model::find->wh

			
		

	





	

		

			

				
					
Unable to verify your data submission.加入了_csrf也报400错误的解决

				
			

			

				

					Marswill
				

				

					02-28
					
					4675
					
				

			

		

		

			
				
对于这个错误一般有以下两种解决方案:
1.在form标签中添加<input type="hidden" name="_csrf" value="<?=Yii::$app->request->csrfToken?>" />
2.在控制器开始部分添加public $enableCsrfValidation = false;
如果你添加了以上标签还是报错那么你需要坚持看完这篇文档

			
		

	





	

		

			

				
					
Web安全之CSRF实例解析

				
			

			

				

					frontend_frank的博客
				

				

					07-06
					
					1480
					
				

			

		

		

			
				
CSRF跨站请求伪造(Cross Site Request Forgery),是指黑客诱导用户打开黑客的网站,在黑客的网站中,利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户...

			
		

	





	

		

			

				
					
yii2 csrf验证以及token管理

				
			

			

				

					weixin_33850890的博客
				

				

					04-21
					
					729
					
				

			

		

		

			
				
为什么80%的码农都做不了架构师?>>> 
                                        
                ...

			
		

	





	

		

			

				
					
yii2框架-yii2局部关闭(开启)csrf的验证 ------ 400错误

				
			

			

				

					梦情与你的博客
				

				

					03-07
					
					523
					
				

			

		

		

			
				
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。
前提是我没有用ActiveForm表单组件,废话少说,进入正题。
csrf 概念
我怕说的不好,但是我看到一篇文章讲的不错。链接如下:
csrf概念
我个人的理解就是一个服务器toke...

			
		

	





	

		

			

				
					
Yii2.0框架安装与Composer使用指南

				
			

			

				

					
				

			

		

		

			
				
"yii2.0中文手册"  Yii 2.0 是一款高性能的PHP框架,专为开发Web 2.0应用而设计。本手册详细介绍了如何安装、配置和使用Yii 2.0,以便开发者能够高效地构建复杂的Web应用程序。  ### 安装Yii  #### 通过Composer安装...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值