yii2利用csrf防止表单重复提交

最新推荐文章于 2024-08-02 16:45:35 发布
最新推荐文章于 2024-08-02 16:45:35 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: python学习 yii2

借助csrf实现防止表单重复提交 [ 2.0 版本 ]

 yidashi   2017-03-13 20:32:49   1916次浏览   4条评论   8  3 0

首先,默认情况下,yii2的csrf验证是通过cookie来保存token验证的,要实现防止表单重复提交,得先把这个方式改成session。

修改项目配置即可实现

'components' => [
	'request' => [
		'enableCsrfCookie' => false
	]
]

然后,csrf验证通过后,在进入下一次get请求之前是不会刷新或者清除session里保存的那个csrf token的,而验证csrf的地方在控制器的beforeAction方法里,源码 yii\web\Controller 如下

/**
* @inheritdoc
*/
public function beforeAction($action)
{
	if (parent::beforeAction($action)) {
		if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
			throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
		}
		return true;
	}

	return false;
}

改源码当然不好,所以建个新控制器继承该控制器实现beforeAction方法

public function beforeAction($action)
{
	if (parent::beforeAction($action)) {
		if ($this->enableCsrfValidation) {
			Yii::$app->getRequest()->getCsrfToken(true);
		}
		return true;
	}

	return false;
}

其他控制器继承它就行了。

这回再连续点击表单里的提交按钮就会提示400错误了~ 欢迎拍砖~

来自http://www.yiichina.com/tutorial/1192

Mikaelemmmm
关注
专栏目录
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2局部关闭(开启)csrf的验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架中局部关闭和开启CSRF(跨站请求伪造)验证。csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
Yii2 CSRF
weixin_30872789的博客
08-23 101
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
php Yii2项目页面刷新导致表单重复提交的问题解决
最新发布
qq_57064821的博客
08-02 778
在使用Yii框架创建的项目中,有一个弹窗,弹窗中有一个表单表单的内容需要提交给后端的php controller文件做数据处理,进而对数据库进行一定的操作,但是操作执行完成以后,浏览器显示的内容没有改变,如果刷新页面,页面显示内容改变但是表单的内容会重复提交给controller程序进行重复处理。现在$transfer里边放的就是表单的数据,再对表单的数据进行处理就好了。像这样,上边是定义的字段名,下边一个规则,最下边是字段对应的标签名,也就是到时候前端让用户填数据的时候,用户看到的那个提示标签的名字。
重复提交CSRF,XSS攻击
y_index的博客
09-20 389
表单重复提交解决方案(防止Http重复提交 网络延时 在平时开发中,如果网速比较慢的情况下,用户提交表单后,发现服务器半天都没有响应,那么用户可能会以为是自己没有提交表单,就会再点击提交按钮重复提交表单,我们在开发中必须防止表单重复提交。 重新刷新 表单提交后用户点击【刷新】按钮导致表单重复提交 点击浏览器的【后退】按钮回退到表单页面后进行再次提交 用户提交表单后,点击浏览器的...
yii2 关于csrf
weixin_30535167的博客
12-02 111
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
Yii框架防止sql注入,xss攻击与csrf攻击的方法
10-21
在Yii框架中,防止SQL注入、XSS攻击和CSRF攻击是保障Web应用安全的重要环节。接下来将详细说明Yii框架在这些方面的防范策略和措施。 首先,对于SQL注入的防护,Yii框架通过多种手段来确保数据的安全性。例如,可以...
YII2框架实现表单中上传单个文件的方法示例
10-15
YII2框架内置了CSRF保护机制,会验证表单提交CSRF令牌是否有效,以确保请求的合法性。 总结一下,在YII2框架中上传单个文件的流程大致为: 1. 创建表单,设置为post方法和multipart/form-data编码类型。 2. 在...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4596
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
Yii中的csrf
chenzhao635的专栏
04-20 207
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2505
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
spring MVC 后台token重复提交解决方案
weixin_30648963的博客
03-09 80
看到公司有个部门提出了这个问题,补个粗略的解决方案。。。 1.编写拦截器 /** * Description: 防止重复提交 * * @Author liam * @Create Date: 2018/3/9 9:22 */ public class AvoidReSubmitIntercepter extends HandlerInterceptorAda...
YII2框架学习 安全篇(三) csrf攻击和防范
混血王子的博客
06-20 2272
继续讲web安全,这次讲到的是csrf攻击(跨站请求伪造)。看到一篇博客这么介绍csrf:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 发个例子说明一下,例子转载自http://www.cnblogs.com/hydd
yii2的防御csrf攻击机制
牛奔的博客
06-20 112
csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。yii2csrf的实现功能是在yii\web\request类实现功能的。request类中的属性,默认是true的。public $enableCsrfValidation = true;所以我们在配置文件中的request组件中可以配置该值request => ['enableCo...
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 282
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
yii2框架-yii2局部关闭(开启)csrf的验证 ------ 400错误
梦情与你的博客
03-07 519
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值