解决Yii2 启用_csrf验证后POST数据仍提示“您提交的数据无法验证”

最新推荐文章于 2023-05-08 11:25:42 发布
最新推荐文章于 2023-05-08 11:25:42 发布
阅读量290 收藏
点赞数
文章标签: php 数据库
原文链接:http://www.cnblogs.com/dcb3688/p/4607960.html
版权

 

一 CSRF 概念

CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

 

Yii2 中的CSRF配置

Yii2 默认是启用CSRF令牌验证

配置在main.php中:

'components' => [
        'request' => [
            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
            'enableCookieValidation' => true,
            'cookieValidationKey' => 'cookvalid',
        ],
      …………

若要取消CSRF验证有两种方法

1. 在要取消的控制器中添加:

public $enableCsrfValidation = false;

2. 在配置中取消enableCookieValidation的验证

'components' => [
        'request' => [
            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
            'enableCookieValidation' => false,
            'cookieValidationKey' => 'cookvalid',
        ],
    …………

 

二 启用CSRF的 POST验证

 当启用了csrf后, 所有表单POST提交的数据就会进行验证,在表单中添加CSRF有两种方法

1. 使用Yii挂件生成html

这样会自动生成带有隐藏表单的_csrf

<?php
                    $form = ActiveForm::begin([
                                'id' => 'login-form',
                    ]);
                    ?>
                    <input type="hidden" name="jfinal_token" value="${jfinal_token }" />
                    <div class="form-group">
                        <label for="j_username" class="t">用户名:</label> 
                        <?php echo Html::input('type', 'LoginForm[username]', $model->username, ['class' => 'form-control x319 in', 'placeholder' => 'Username', 'autocomplete' => 'off']); ?>
                    </div>
                    <div class="form-group">

                        <label for="j_password" class="t">密 码:</label> 
                        <?php echo Html::input('password', 'LoginForm[password]', $model->password, ['class' => 'form-control x319 in', 'placeholder' => 'Password']); ?>
                    </div>
                   
                    <?php ActiveForm::end(); ?>

2. 手动添加_csrf

在form表单中手动添加隐藏表单,也适用于ajax的手动添加_csrf

<input type="hidden" value="<?php echo Yii::$app->request->csrfToken; ?>" name="_csrf" >

 

三 提交POST提示“您提交的数据无法验证”

使用原生or Yii挂件生成html带有_csrf 表单提交仍然提示“您提交的数据无法验证”

表单html如下:

<div class="login_form">
    <form id="login-form" action="/default/login" method="post">
    <input type="hidden" name="_csrf" value="bDV6RjFCS0RURzcwCAwKNC5AIyIDdy19BkAOF38YGSkLGCI2UgcEMQ==">
    <div class="form-group">
        <label for="j_username" class="t">用户名:</label> 
         <input type="type" class="form-control x319 in" name="LoginForm[username]" placeholder="Username" autocomplete="off">               
    </div>
    <div class="form-group">
    <label for="j_password" class="t">密 码:</label> 
          <input type="password" class="form-control x319 in" name="LoginForm[password]" placeholder="Password">        
    </div>
     </form>     
</div>

_csrf 是Yii自动生成,不存在字符串不匹配

后来找到问题: 

render的时候使用了exit, 应使用return

*注: render 时也不能用echo 或 die()

解决办法:

 return $this->render('action',['t'=>$t,'text'=>$text]);

封装render

 return $this->display([
            't' => $t,
            'text' => $text,
        ]);



 /**
     *  render页面
     * @param array  当$i为array模版为$this->action,数据源为$i
     * 当$i为string,模版为$i,数据源为$param
     */
    protected function display($i = array(), $param = array()) {
        $data = array();
        if (is_string($i)) {
            $tpl = $i;
            $data = $param;
        } else {
            $data = $i;
          $tpl = $this->action->id;
        }

       return $this->render(strtolower($tpl), $data);
    }

 

 

解决Yii2给数据库表添加字段后对应模型无法识别到该属性的原因

数据库表的结构被缓存了

执行:

//清理所有表结构缓存数据
Yii::$app->db->getSchema()->refresh();

 

转载于:https://www.cnblogs.com/dcb3688/p/4607960.html

diandu3502
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii2框架数据验证操作实例详解
10-18
主要介绍了Yii2框架数据验证操作,结合实例形式详细分析了Yii框架常见数据验证操作的原理、实现方法及相关操作技巧,需要的朋友可以参考下
yii2.0的csrf问题
Harakin的博客
10-25 441
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
SpringSecurity的无法访问post请求
m0_64998696的博客
05-08 519
SpringSecurity的无法访问post请求
yii提交数据报错yii\web\BadRequestHttpException: 您提交数据无法验证。 in C:\phpStudy\plugins\PHPTutorial\WWW\bljgro
weixin_44432032的博客
11-17 1327
在表单提交验证的时候报错yii\web\BadRequestHttpException: 您提交数据无法验证。 in C:\phpStudy\plugins\PHPTutorial\WWW\bljgroups\vendor\yiisoft\yii2\web\Controller.php:166 具体的错误信息是: An Error occurred while handling another error: yii\base\InvalidRouteException: Unable to resolv
提交表单报400错误,提示 “您提交数据无法验证
aa545785的博客
10-07 2188
提交表单报400错误,提示 “您提交数据无法验证” 原来是csrf验证的问题,因为表单是自己写的,在Yii框架中,为了防止csrf攻击,对post的表单数据封装了CSRF令牌验证解决办法关闭csrf验证 frontend/config/main-local.php中 方法一、在配置文件中关闭 'components'=>array( 'request'=...
YII2提交数据无法验证
oShouShou的博客
12-22 352
YII2提交数据无法验证解决办法
yii2局部关闭(开启)csrf验证的实例代码
10-19
本篇文章主要介绍了yii2局部关闭(开启)csrf验证的实例代码。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
启用CsrfPOST数据时出现的400错误
12-18
最近一直出现这样的错误,一直在查找原因,偶然看到一篇解决的文章,分享给大家看看。 第一种解决办法是关闭Csrf ...第三种解决办法是在AJAX中加入_csrf字段 var csrfToken = $('meta[name="csrf-tok
Yii框架表单提交验证功能分析
12-19
本文实例讲述了Yii框架表单提交验证功能。分享给大家供大家参考,具体如下: 一、前端提交的三种方式 前面已经提出,表单提交一共只有三种方式。 1. 前端原生html (1)原生html标签 首先,直接使用html标签的input,...
yii2 ajax csrf meta,yii2开启CSRFPOST"提交数据无法验证"
weixin_36352910的博客
08-05 486
CSRF全称Cross-site request forgery,即跨站请求伪造。利用CSRF,攻击者可以破坏网络请求会话的完整性。CSRF全称Cross-site request forgery,即跨站请求伪造。利用CSRF,攻击者可以破坏网络请求会话的完整性。比如如果在一个Web页面中存在js ajax的请求,为了网站安全,你应该仅允许这个ajax请求在当前web页面内发起。否则的话,用户可以...
Yii2.0 _csrf提交数据无法验证
Oscaner
02-28 4712
yii中,经常会碰到 您提交数据无法验证 这种情况 这是因为yii有一个csrf验证 关闭csrf验证 在控制器中添加 public $enableCsrfValidation = false; 在form表单中添加隐藏域 &amp;lt;input name=&quot;_csrf&quot; type=&quot;hidden&quot; id=&quot;_csrf&quot; value=&amp
yii 提交表单报400错误,提示 “您提交数据无法验证”,问题处理。
weixin_34209851的博客
08-17 164
2019独角兽企业重金招聘Python工程师标准>>> ...
yii提交数据无法验证
征途人生&梦
07-29 4607
在做页面前端在线留言时,我没有使用ActiveForm生成表达,而是用html写的,在提交时报您提交数据无法验证。,在网上查了资料,说在表单中添加隐藏域 request->csrfToken ?>"> 但添加了还是不行,网上找了很久依旧无法解决,后来我看了下后台的写法,后台是这样写的: 因为我用的是高级版,可能这就是区别吧,于是写成这样: request->csrfToken
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5362
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
yii2表单提交CSRF验证
DuTianTian_csdn的博客
06-26 529
Yii2表单提交默认需要验证CSRF,如果CSRF验证不通过,则表单提交失败,解决方法如下:第一种解决办法是关闭Csrfpublic $enableCsrfValidation = false;第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) &lt;input type="text" name="_csrf-frontend" value="&lt;?= Yii...
yii框架 postman POST请求报错400
qq_32936067的博客
08-15 1672
查找原因 出现这个错误的原因是因为yii框架默认是开启了csrf验证 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 public $enableCsrfValidation = true; 所以我们在配置文件中的request组件中可以配置该值 request =&gt; [ ‘enableCook...
Yii 在控制器具体方法中关闭csrf验证
win_von的博客
12-12 698
我们知道如何中控制器中关闭csrf验证; public $enableCsrfValidation=false;   那如果,需要关闭控制器某些方法的csrf验证该如何处理呢?  控制器都继承 yii\web\Controller的话,那么你可以在该控制器下如下操作 class PublicController extends Controller { private ...
yii2表单验证方法
03-29 8172
model层的书写验证规则 return [ [['username','password','email','phone','images'],'required','message'=>'不能为空'], //验证唯一性 [['username'], 'unique','targetClass' => '\backend\models\Verification','message'=>
YII_CSRF_TOKEN
最新发布
04-05
Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用YiiCSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值