ci框架如何手动进行csrf攻击防范

最新推荐文章于 2021-03-10 02:04:05 发布
最新推荐文章于 2021-03-10 02:04:05 发布
阅读量3k 收藏
点赞数
分类专栏: ci PHP 文章标签: CI CodeIgniter CodeIgniter安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QZFZZ/article/details/38439841
版权
PHP 同时被 2 个专栏收录
42 篇文章 1 订阅
订阅专栏
ci
9 篇文章 0 订阅
订阅专栏
0.修改application/config/$config.php文件中
$config['csrf_protection'] = false;

1.修改system/core/Security.php文件注释掉


function __construct()其中的第一行代码如下
//if (config_item('csrf_protection') === TRUE)
 
2.手动使用


1>controller

1
2
3
4
5
6
7
8
public  function  index()
{
$data  new  stdClass();
$data ->token_name =  $this ->security->get_csrf_token_name();
$data ->token_hash =  $this ->security->get_csrf_hash();
     
$this ->load->view(  'sec' $data  );
}




2>view文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<!doctype html>
<html>
<head>
  <meta charset= "utf-8" />
  <title>security check!</title>
</head>
<body>
<form method= "post"  action= "/index.php/sec/post" >
<label  for = "user" >user</label>
<input id= "user"  name= "user"  value= "" />
<label  for = "age" >age</label>
<input id= "age"  name= "age"  value= "" />
<input type= "submit"  value= "提交" />
<input type= "hidden"  name= "<?php echo $token_name; ?>"  value= "<?php echo $token_hash; ?>" />
     
     
</form>
     
     
</body>
</html>




3>提交
1
2
3
4
5
6
7
public  function  post()
{
      $this ->security->csrf_verify(); //csrf检查
       
      var_dump(  $_POST  );       
       
}

风知前
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CI框架安全类Security.php源码分析
01-21
CI安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可: 复制代码 代码如下: $config[‘csrf_protection’] = TRUE; $config[‘global_xss_filtering’] = TRUE; 并提供了实用方法: 复制代码 代码如下: $this->security->xss_clean($data);//第二个参数为TRUE,验证图片安全 $this->security->sanitize_filename()//过滤文件名 CI也提供了安全函数: xss_clean()//xss过滤 sanitize_filename()//
Python Django框架防御CSRF攻击的方法分析
09-18
在Python的Web开发框架Django中,CSRF(Cross-site request forgery,跨站请求伪造)是一种常见的安全威胁,它允许攻击者通过受害者在已登录的网站上的合法身份执行恶意操作。为了保护用户免受此类攻击,Django提供...
CIcsrf的使用说明
飞空静渡
02-19 1268
在application的config中可以开启csrf的设置: $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $c...
CI框架源码解析十一之安全类文件Security.php
让编程改变世界
10-26 2921
CI框架安全类包含了一些方法,用于安全的处理输入数据,帮助你创建一个安全的应用。CI框架安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可并提供了实用方法: $config['csrf_protection'] = TRUE; $config['global_xss_filtering'] = TRUE; //实用方法 $this->
CodeIgniter框架源码学习之安全类--Security.php
落地窗前梦残夜
08-24 1015
文件位置:./system/core/Security.php /** * CodeIgniter * * An open source application development framework for PHP * * This content is released under the MIT License (MIT) * * Copyright (c)
CI框架ajax方式post数据时加上csrf验证
SMILENCE
06-13 3492
原理 1.生成一个token串放在cookies里面, 2.把上面那个token放在表单里面, 3.表单回传之后,对比cookies里面的这个token和post里面的token是否相等,不相等就返回错误, 4.为什么可以防御csrf呢,因为cookies是不会被第三方获取的。 下面这段就是一个验证通过示例: $this ->security->csrf_verify();
PHP开发csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSS,CSRF是利用了系统对...
详解WEB攻击CSRF攻击与防护
02-23
CSRF定义:跨站请求伪造(英语:Cross-siterequestforgery),也被称为one-clickattack或者sessionriding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击防范方法与相关函数调用注意事项,需要的朋友可以参考下
CI框架中开启了csrf_protection后,表单以及ajax传输都要带上一個token的值
在工作中记录下美好的瞬间~~
08-04 781
如果打开这个功能的话 post表单,提交给server 后报错: Error 500 An Error Was Encountered The action you have requested is not allowed. 可以在application/config/config.php中找到下面这一行 $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf
PHP CI框架防范CSRF及XSS源码摘录
daisy_sura的博客
01-31 785
CSRF 基本思路:在表单中增加隐藏input,值为随机hash值,提交到服务端后与cookie中的hash值进行比对。每次提交后,重新生成token和cookie中的值。这里以CI为例,Laravel中的思路也基本相同。 配置 /* |-------------------------------------------------------------------------- | Cros...
CICSRF防范原理及注意事项
Notzuonotdied的博客
03-10 796
CICSRF防范原理及注意事项
php ci csrf,CIcsrf的使用说明(2)
weixin_34055902的博客
03-10 177
在application的config中可以开启csrf的设置$config['csrf_protection'] = TRUE;$config['csrf_token_name'] = 'csrf_test_name';$config['csrf_cookie_name'] = 'csrf_cookie_name';$config['csrf_expire'] = 7200;$config['c...
ci框架】谈CI框架安全
PHP在线开发笔记
04-03 3300
用过ci框架的人都知道,ci框架能大大缩短你的代码。其实,ci框架更能提高你网站的安全性。 防止对数据库的攻击   数据输入可能引发许多问题。因为 HTML 和数据库的限制,数据中总包含特定的符号—举例来说,省略符号和引号—可能导致你的数据库遭到攻击,最终得到你无法预料的结果。 解决方案是在把这些数据存入数据库前对这些数据进行相关处理。这样做会浪费一些系统时间,增加一些额
CICSRF的改造
bixiong5116的博客
07-23 192
CICSRF是有缺陷的。只要同时开俩个不同的涉及csrf的页面,http://host/csrf1 http://host/csrf2就会发现页面直接互相影响(问题1)。即使同一页面也涉及这样的问题。http://host/csrf1http://host/csrf1也会发现这样的问题(问题2)。先解决简单问题2只需要将配置 csrf_regenerate 设置为 fal...
CIcsrf的使用说明(2)
飞空静渡
03-05 488
在application的config中可以开启csrf的设置 $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $co...
CodeIgniter中使用CSRF TOKEN的一个坑
weixin_34301132的博客
08-02 410
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里 我的代码里面开启CodeIgniter框架CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security-&gt;csrf_hash来配合其他一些用法,这里不多说。 接...
laravel中关闭CSRF(全部关闭、部分关闭)
编程不过是一门失传艺术的别名,这门艺术的名字叫做“思考”
07-05 8004
用了laravel就会知道其中的csrf验证功能,如果post传值的时候,没有csrf_token就会报如下的错误: 这是因5.2之后的版本中会默认在路由里面添加 web 中间件。 在app/Http/Kernel.php文件中有如下配置: 全部关闭 到此,想必大家就知道了如何关闭这个验证了。就是将上图标注的这一行代码注释掉,这样就关闭了csrf验证,但这就全部关闭了。 ...
网络安全面试常见问题总结:SQL注入、XSS攻击CSRF攻击防范
CSRF攻击(跨站点请求伪造)是一种攻击方式,攻击者通过跨站请求,以合法的用户的身份进行非法操作。防范CSRF攻击的方法有: * 使用安全框架,例如SpringSecurity * 使用token机制,在HTTP请求中进行token验证 * ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值