yii2 csrf可能会出现的问题

最新推荐文章于 2020-07-04 20:55:16 发布
最新推荐文章于 2020-07-04 20:55:16 发布
阅读量640 收藏
点赞数
分类专栏: yii2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buyueliuying/article/details/55050110
版权


https://segmentfault.com/q/1010000004450797


需要注意的是如果有做前后台分离的,需要把前后台配置的request组件的cookieValidationKey值设置成一致,如果不一致,刷新一方,另一方的csrf_token就会失效

$config = [
    'components' => [
        'request' => [
            'cookieValidationKey' => 'xxxx',//你的key
        ],
    ],
];

buyue__
关注
专栏目录
yii2.0的csrf问题
Harakin的博客
10-25 464
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
yii2发送异步请求中的小问题,有效处理csrf验证
zfeig的专栏
02-02 5066
最近在使用yii2,打算做一个通用的后台系统,实现用户登录和后台基本操作:登录操作采用系统自带的identify组件;后台界面采用bootstrap处理,模板采用网上的后台模板页,不过该模板bootstrap版本过低,改成v3版;界面如下: 界面是响应式的,功能菜单可以自由定制,只要把链接定义写到后台首页即可,十分方便,扩展性强,省了不少麻烦; 说说遇到的问题;比如在做消息回复
Yii2的Request看其CSRF防范策略
Terry - 专注外贸B2C
01-14 747
Yii2的Request看其CSRF防范策略 先画一幅流程图理理思路: 1. 问题是这样的: 今天在处理一个这样的需求, 在 app\controllers\LoginController.php中定义了index方法来处理登录(主要是用于非Web页面登录,比如Curl -X POST http://api/login): 结果呢, 无论是用测试工具POSTMAN还是用命令行CU
解决Yii2 启用_csrf验证后POST数据仍提示“您提交的数据无法验证”
diandu3502的博客
06-29 319
CSRF 概念 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受...
yii2利用csrf防止表单重复提交
吕秀军的博客
08-11 1751
借助csrf实现防止表单重复提交 [ 2.0 版本 ]  yidashi  2017-03-13 20:32:49  1916次浏览  4条评论  8 3 0 首先,默认情况下,yii2csrf验证是通过cookie来保存token验证的,要实现防止表单重复提交,得先把这个方式改成session。 修改项目配置即可实现 'components' => [ 'requ
yii2局部关闭(开启)csrf的验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架中局部关闭和开启CSRF(跨站请求伪造)验证。csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
yii2 ajax post设置csrf
qqwawa123的博客
07-04 364
由于yii2csrf机制,如果是自己写ajax post提交方式,提示提交数据验证错误,有两种解决方法: 1.关于controller里面的csrf验证 public $enableCsrfValidation = false; 2.根据Yii::$app获取csrftoken; csrfparam=jsonencode(array(Yii::csrfparam = json_encode(array(Yii::csrfparam=jsone​ncode(array(Yii::app->reque
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5404
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4599
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii2框架-yii2局部关闭(开启)csrf的验证 ------ 400错误
梦情与你的博客
03-07 521
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2509
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
YII2 前后台用户分离
JunChow
11-13 400
后台隶属于系统管理员登录范畴,此处使用admin表作为基础,其基础字段与user表保持一致。 后台登录模块采用独立模型和表单模型来完成。 1. 创建后台管理员表 详情参见:“账户管理” 2.修改后台主配置文件 /backend/config/main.php 'components' => [ 'request' => [ 'csrfParam'...
yii框架中的session和cookie设置、使用以及清空
东垂小夫
09-03 5823
我们在开发项目中南面使用到session给和cookie,那么在yii中有他自己的规则 如下案例:   session使用     functionactionS1(){        echo $this->id." ";        echo $this->action->id." ";        设置session,通过session组件来设置        Yii
关于yii2的中文乱码问题
weixin_30482181的博客
11-16 510
在数据库配置中这么配就可以了 <?php return [ 'class' => 'yii\db\Connection', 'dsn' => 'mysql:host=127.0.0.1; dbname=ohmycto; charset=utf8', 'username' => 'website', 'password' =...
Yii2csrf token验证
诗与远方_
10-15 1559
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
YII2 CORS 踩过的坑
bl724的专栏
11-27 3753
由于项目需求,功能越来越多,小程序容量只有2M,所以改造小程序,在小程序中加入webview,把之前的部分功能提出到webview中。 之前做小程序时有考虑到这个问题,请求API接口有封装JS,于是直接复制过来,想直接复用,webview也采用调用API接口的方式获取数据,毕竟API接口都写好了。OK,直接开干,复制JS,修改为jquery封装ajax, var Request = fu...
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2框架-yii2局部关闭(开启)csrf的验证(十七)
热门推荐
bingcool
06-30 1万+
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。(1)全局使用,我们直接在配置文件中设置enableCookieValidation为truerequest =&gt; [ 'enableCookieValidation' =&gt; true, ]如果不需要使用csrf的话,设置'enableCookieValidation' ...
Yii2 CSRF防御机制:非Web请求引发的问题与解决方案
当你试图通过非Web页面方式(如CURL或POSTMAN)执行登录操作时,可能遇到400 Bad Request的错误,这是因为Yii2默认启用了对CSRF的验证,确保所有来自用户的表单提交都是由真正的用户发起且未经授权的第三方无法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值