YII 局部CSRF、令牌使用sessio存储

最新推荐文章于 2021-08-05 17:41:49 发布
最新推荐文章于 2021-08-05 17:41:49 发布
阅读量540 收藏
点赞数
分类专栏: Yii PHP 文章标签: YIICSEFCSEF局部CSEFSES
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lu4506527/article/details/45438123
版权
PHP 同时被 2 个专栏收录
8 篇文章 0 订阅
订阅专栏
Yii
4 篇文章 0 订阅
订阅专栏
YII 自带的CSRF功能很强大,每个form提交的数都会进行令牌验证,导致在接收支付宝同步通知时,被YII的CSRF功能挡之门外。项目中可能有些地方需要进行CSRF验证,但是有些地方又不需要。YII2在顶级控制器中添加了关闭csrf的一个属性: 
/**
 * @var boolean whether to enable CSRF validation for the actions in this controller.
 * CSRF validation is enabled only when both this property and [[Request::enableCsrfValidation]] are true.
*/
 public $enableCsrfValidation = true;

但是yii2.0以下的版本是没有这个属性的。这是就得重写HttpRequest组件了。

<?php
class HttpRequest extends CHttpRequest{

    public $noCsrfValidationRoutes=array();

    //将CSRF令牌存入session
    /**
    +----------------------------------------------------------
     * 重写CHttpRequest中getCsrfToken方法
    +----------------------------------------------------------
     * author   fujia<@.com>
     * time     2015年4月27日20:47:54
    +----------------------------------------------------------
     */
    public function getCsrfToken(){
        if($this->_csrfToken===null)
        {
            $session = Yii::app()->session;
            $csrfToken=$session->itemAt($this->csrfTokenName);

            if($csrfToken===null)
            {
                $csrfToken = sha1(uniqid(mt_rand(),true));
                $session->add($this->csrfTokenName, $csrfToken);
            }
            $this->_csrfToken = $csrfToken;
        }

        return $this->_csrfToken;
    }

    //将使用session验证
    public function validateCsrfToken($event)
    {

        if($this->getIsPostRequest())
        {
            // only validate POST requests
            $session=Yii::app()->session;
            if($session->contains($this->csrfTokenName) && isset($_POST[$this->csrfTokenName]))
            {
                $tokenFromSession=$session->itemAt($this->csrfTokenName);
                $tokenFromPost=$_POST[$this->csrfTokenName];
                $valid=$tokenFromSession===$tokenFromPost;
            }
            else
            $valid=false;
            if(!$valid)
                throw new CHttpException(400,Yii::t('yii','The CSRF token could not be verified.'));
        }
    }
    //重写httprequest中的方法
    protected function normalizeRequest()
    {
        parent::normalizeRequest();

        //remove the event handler CSRF if this is a route we want skipped
        if($this->enableCsrfValidation)
        {
            $url=Yii::app()->getUrlManager()->parseUrl($this);
            foreach($this->noCsrfValidationRoutes as $route)
            {

                if(strpos($url,$route)===0)

                $result = Yii::app()->detachEventHandler('onBeginRequest',array($this,'validateCsrfToken'));
            }
        }
    }


}
在配置文件中加: 

'request'=>array(
			'class' => 'cfg_common.components.HttpRequest',
            'enableCsrfValidation'=>true,
            'enableCookieValidation'=>true,
            'noCsrfValidationRoutes'=>array(//不需要CSEF验证的URL
				'goods/cart',
				'goods/getOrder',
				'orders/notifyUrl',
				'orders/returnUrl',
				'orders/notifyUrlWap',
				'orders/returnUrlWap',
				'index/saveOrder',
			),
        ),
最后搞定


凄魅旋律
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii框架 session 数据库存储操作方法示例
10-15
主要介绍了Yii框架 session 数据库存储操作方法,结合实例形式分析了使用Yii框架session组件配置与数据库存储相关操作技巧,需要的朋友可以参考下
yii2局部关闭(开启)csrf的验证的实例代码
12-20
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。 (1)全局使用,我们直接在配置文件中设置enableCookieValidation为true request => [ '...
Yiicsrf验证
人在旅途
06-27 8265
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
yii框架登录令牌
Summer--楠的博客
08-09 626
一、判断是否同时登录,同时登录则挤掉第一个用户 1、 在数据库创建一个token表,让其与用户表关联,token随机字符串 2、登录时将数据库里的token换掉,并取出新的token与用户信息一起存到session //调用登录接口地址 $url = "http://localhost/php10/port/public/check?username=".$use...
YII实现ThinkPHP的表单令牌
beckzhanglang的专栏
07-22 1227
session
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5368
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
Yii 自定义表单验证规则和客户端验证
陈小峰(iefreer)的专栏
06-09 5084
Yii使用rules来定义验证规则,缺省情况是在服务器端验证,如果想在客户端验证,那么需要给CActiveForm传递enableClientValidation参数。 对于大部分情况上述规则就能满足需求,Yii会自动生成相应的客户端JS验证脚本。 但对于一些自定义的界面控件,例如时间选择控件,要求对时间的取值做一定的范围约束,那么就需要用到自定义验证规则了。
Yii框架用户登录session丢失问题解决方法
10-20
主要介绍了Yii框架用户登录session丢失问题解决方法,通过针对底层代码的修改解决session丢失问题,具有一定参考借鉴价值,需要的朋友可以参考下
Yii2下session跨域名共存的解决方案
10-20
总的来说,Yii2框架提供了灵活的session管理机制,通过正确配置`user`和`session`组件,以及处理好cookie的domain和session数据的存储位置,可以实现session的跨域名共存。这种方法在多站点、多域名的复杂网络环境中...
Yii框架Session与Cookie使用方法示例
10-16
主要介绍了Yii框架Session与Cookie使用方法,结合实例形式分析了Yii框架针对Session与Cookie的设置、获取、删除等相关操作技巧,需要的朋友可以参考下
yii2CSRF验证
czh0423的专栏
07-17 2814
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
YII2框架表单-model(验证)-HTML_help部件 URL_help部件 以注册页面为实例
zhao_teng的博客
11-27 326
YII2框架中除了 controller和model十分重要之外,YII2框架中还提供了强大的视图部件以及强大的表单验证下面我们就以注册页面为实例来一探究竟!! 效果图: 1、首先我们要建立model层并且建立rules()方法 以及字段属性 我们看看model层中rules方法定义: Rules验证规则: required : 必须值验证属性||CRequiredValidat...
YII学习第十二天,当前用户相关
dcj3sjt126com的专栏
02-16 93
常用的用法是: class Controller extends CController { public $user = null; $this-&gt;user = Yii:app()-&gt;user; }   this-&gt;user-&gt;isGuest; this-&gt;user-&gt;id; this-&gt;user-&gt;name;...
在header中添加自定义属性防止CSRF
lc20008的博客
09-24 8647
在header中添加自定义属性防止CSRF 一、 概述 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请
yii _csrf 验证,解决
清晨的一缕阳光
07-31 2148
解决POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ] 第一种解决办法是关闭Csrf public $enableCsrfValidation = false;   第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) 在main.php文件里面 'request' =&gt; [ 'csrfParam' =&g...
Yii源码阅读笔记 - 错误/异常处理
weixin_30338497的博客
10-09 132
2015-09-14 一 Byyoungsterxyf 概述 PHP区分“错误”(Error)和“异常”(Exception)。“错误”通常是由PHP内部函数抛出,表示运行时问题,当然也可以通过函数trigger_error或user_error抛出一个用户级别的error/warning/notice信息。但在引入面向对象之后,相比使用trigger_error抛出错误,使用thro...
yii ajax令牌,使用令牌实现RESTful API身份验证(Yii/Yii2)
weixin_42449375的博客
08-05 155
lin..55有关处理安全接口的信息集中一个解决方案,一次性提供所有好的(RESTful)auth东西,这可能是:SSL(最重要的,否则"HTTP-AUTH"将SENCE少,每个人都可以读出你的请求头/身体人在这方面的中间人攻击)oAuth(或更好的oAuth2!)HTTP-AUTH令牌(包括有限的生命周期,刷新,可能包括IP/DeviceUID检查逻辑 - >如果它是移动的!)Salt生成...
ThinkPHP中表单令牌的设置步骤
小罗的博客
04-18 3315
1在Home下conf下的config.php文件配置参数表单令牌验证相关的配置参数有:‘TOKEN_ON’ => true, // 是否开启令牌验证 默认关闭 ‘TOKEN_NAME’ => ‘hash‘, // 令牌验证的表单隐藏字段名称,默认为hash ‘TOKEN_TYPE’ => ‘md5’, //令牌哈希验证规则 默认为MD5 ‘T
YII_CSRF_TOKEN
最新发布
04-05
Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值