四十六、逐行阅读Yii2.0.43_Yii框架文件yii\web\Request.php(13)

最新推荐文章于 2024-07-28 14:55:40 发布
最新推荐文章于 2024-07-28 14:55:40 发布
阅读量216 收藏
点赞数
分类专栏: 逐行阅读Yii2.0.43源码 文章标签: php yii csrf token 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mianhuatangVSyeyu/article/details/121282190
版权

Yii2框架 CSRF防护 令牌管理 安全验证 Web开发
关键词由CSDN通过智能技术生成

一、属性

1. $_csrfToken 用于csrf验证的令牌


    // csrf验证的令牌
    private $_csrfToken;

二、方法

1. getCsrfToken方法,返回csrf验证的token

    //返回用于csrf验证的令牌
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {

            //从cookie或session获取token
            $token = $this->loadCsrfToken();

            //重新生成token
            if ($regenerate || empty($token)) {
                $token = $this->generateCsrfToken();
            }

            //进一步掩码处理
            $this->_csrfToken = Yii::$app->security->maskToken($token);
        }

        return $this->_csrfToken;
    }

2. loadCsrfToken方法,从cookie或session获取令牌

    // 从cookie或session中获取csrf令牌
    protected function loadCsrfToken()
    {
        //如果启用了cookie来持久化token,
        //这里就从cookie中获取
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        }

        // 默认从session中获取
        return Yii::$app->getSession()->get($this->csrfParam);
    }

3. generateCsrfToken方法,生成令牌

    //生成一个随机token
    protected function generateCsrfToken()
    {
        // 32位token
        $token = Yii::$app->getSecurity()->generateRandomString();

        // 保存token到cookie或session
        if ($this->enableCsrfCookie) {
            // cookie对象
            $cookie = $this->createCsrfCookie($token);
            Yii::$app->getResponse()->getCookies()->add($cookie);
        } else {
            Yii::$app->getSession()->set($this->csrfParam, $token);
        }

        return $token;
    }

4. getCsrfTokenFromHeader方法,从请求头获取令牌

    // 从请求头中获取token
    public function getCsrfTokenFromHeader()
    {
        return $this->headers->get(static::CSRF_HEADER);
    }

5. createCsrfCookie方法,创建带有csrf令牌的cookie对象

    // 生成cookie对象
    protected function createCsrfCookie($token)
    {
        $options = $this->csrfCookie;

        //返回cookie对象
        return Yii::createObject(array_merge($options, [
            'class' => 'yii\web\Cookie',
            'name' => $this->csrfParam,
            'value' => $token,
        ]));
    }

6. validateCsrfToken方法,验证token

    // csrf验证
    public function validateCsrfToken($clientSuppliedToken = null)
    {
        $method = $this->getMethod();
        // only validate CSRF token on non-"safe" methods https://tools.ietf.org/html/rfc2616#section-9.1.1

        // 无需验证条件:
        // 1. 未开启csrf验证
        // 2. GET,HEAD,OPTIONS请求不验证
        // 满足以上一个条件就可以
        if (!$this->enableCsrfValidation
            || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
            return true;
        }

        // 掩码过的token
        $trueToken = $this->getCsrfToken();

        // 1. 用户提供的token
        if ($clientSuppliedToken !== null) {
            return $this->validateCsrfTokenInternal($clientSuppliedToken, $trueToken);
        }

        return
            // 2. POST请求字段中携带的token
            $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
            // 3. 请求头中携带的token
            || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
    }

7. validateCsrfTokenInternal方法,token验证

    // token验证
    private function validateCsrfTokenInternal($clientSuppliedToken, $trueToken)
    {
        // 非字符串返回false
        if (!is_string($clientSuppliedToken)) {
            return false;
        }

        $security = Yii::$app->security;

        //token比较
        return $security->compareString(
            $security->unmaskToken($clientSuppliedToken), 
            $security->unmaskToken($trueToken)
        );
    }

总结:

 阅读了1个属性和7个方法:

  • $_csrfToken 用于csrf验证的令牌
  • getCsrfToken方法,返回csrf验证的token
  • loadCsrfToken方法,从cookie或session获取令牌
  • generateCsrfToken方法,生成令牌
  • getCsrfTokenFromHeader方法,从请求头获取令牌
  • createCsrfCookie方法,创建带有csrf令牌的cookie对象
  • validateCsrfToken方法,验证token
  • validateCsrfTokenInternal方法,token验证
会飞的猫666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
yii-1.1.4.r2429.zip_mvc php_php yii_yii 1.1.4.rar_yii mvc_yii1.1
09-22
"yii-1.1.4.r2429.zip_mvc php_php yii_yii 1.1.4.rar_yii mvc_yii1.1" 这个标题提到了 Yii 框架的一个特定版本,即 1.1.4 版本的修订版 2429,同时也提及了 MVC 设计模式和 PHP 语言。在描述中,我们了解到 Yii 被...
Yii2.0 SESSION使用方法
红尘炼炼心的博客
08-24 1613
Session Yii2Session比较简单 ,直接通过\Yii::$app->session进行操作 添加一个session① $session = \Yii::$app->session; $session->set('smister_name' , 'myname'); $session->set('smister_array' ,[1,2,3]); ?>
Yii框架进行session操作
一花一世界
05-13 5312
Yii框架中对session的操作,我们是通过一个叫session组件的东西,首先我们需要获取session组件。 $session = \Yii::$app->session; 获取了session组件之后,想要对session进行操作,我们首先需要判断session是否启用 if ($session->isActive){ echo "session已经开启...
Yii2 CSRF
weixin_30872789的博客
08-23 96
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
Yii 2.0 权威指南-10142017.pdf.tar.gz_Yii2.0_yes_yii框架
09-23
Yii 2.0 是一款备受推崇的开源 PHP 框架,专为高效开发现代 Web 应用程序而设计。它的设计理念是简洁、灵活且可扩展,使得开发者能够快速构建功能丰富的应用程序。"Yii 2.0 权威指南" 是一本深入探讨该框架的权威...
Yii_PHP_框架源码分析.pdf
08-04
index.php文件中首先定义了Yii框架的路径和配置文件的路径,然后使用require_once函数将Yii框架的核心文件yii.php引入。接着,使用Yii::createWebApplication函数创建了一个CWebApplication对象,并执行其run方法...
Yii Framework PHP开发框架 v2.0.16.1
10-03
Yii Framework 是一款基于组件、高性能的PHP开发框架,专为构建高效、可扩展的Web2.0应用而设计。在v2.0.16.1版本中,它集成了许多增强特性和优化,旨在提升开发效率和应用程序的运行性能。 1. **组件驱动**:Yii ...
Yii Framework php开发框架 v2.0.31
08-22
Yii Framework 是一款基于组件、高性能的PHP5框架,专为Web2.0应用程序设计。它致力于提高开发效率,提供丰富的特性来简化常见的Web开发任务,同时保持高度的灵活性。Yii这个名字来源于“简单易用”(Yiizhao)和...
PHP框架详解 - symfony框架
丁爸的博客
07-28 765
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 399
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
ecshop网站部署
qq_63926306的博客
07-24 353
ecshop网站部署
BGP选路之Next Hop
txs1269928052的博客
07-23 745
根据前面的实验步骤得知,10.0.100.1/32路由在R1上的Next Hop为0.0.0.0,说明当10.0.100.1/32的路由信息在由R1传递至EBGP对等体R2的过程中,Next Hop属性会被自动修改为发送BGP报文的源地址,即 10.0.12.1。R3上的现象与R2上的现象类似,这里不再赘述。为了使R4的BGP路由表中去往10.0.100.1/32的路由信息标记为可用,并放进P路由表中,必须使R4去往10.0.100.1/32的 BGP路由信息中的Next Hop是可达的。
跨境电商独立站:Shopify/Wordpress/店匠选哪个?
dongdonglin77的博客
07-26 906
商家需要根据自己的资源、能力和市场定位,选择最适合自己的建站工具,并制定有效的运营计划。通过持续的市场调研、品牌建设、流量获取和客户服务,商家可以在独立站的道路上实现可持续发展。
PHP表单必需字段
最新发布
红客网络编程与渗透技术
07-28 172
PHP中处理表单时,确保必填字段被正确填写是非常重要的。这通常涉及到在客户端(使用HTML5)和服务器端(使用PHP)进行验证。以下是一个关于PHP表单必需字段的详细教程,包括如何在客户端和服务器端进行验证。
php判断某个目录下是否存在文件
qq_39634880的博客
07-26 397
【代码】php判断某个目录下是否存在文件
ctfshow-web入门-php特性(web147-web150_plus)
Welcome To Myon'Blog !
07-27 1000
:匹配字符串的开头。$:匹配字符串的结尾,确保整个字符串符合规则。[a-z0-9_]:表示允许小写字母、数字和下划线。*:匹配零个或多个前面的字符。/i:忽略大小写。s:匹配包括换行符在内的所有字符。D(PCRE 特有):美元符号 $ 仅匹配字符串的实际末尾,不匹配结尾的换行符。这里只需要让 $ctfshow 里面有其他字符即可满足 if 判断。在 PHP 中,命名空间(namespace)提供了一种组织代码的方式,可以避免类、函数和常量名称的冲突。
PHP While循环
红客网络编程与渗透技术
07-28 328
while循环是 PHP 中用于重复执行代码块直到指定条件不再满足为止的基本工具。它非常灵活,但使用时需要小心,以避免无限循环和潜在的性能问题。通过合理设计循环的退出条件和使用循环控制语句,你可以有效地利用while循环来解决各种编程问题。PHP While循环客户端下载 - 红客网络编程与渗透技术。
新版海螺影视主题模板M3.1全解密版本多功能苹果CMSv10后台自适应主题
jiyc2008的博客
07-25 7124
苹果CMS2022新版海螺影视主题M3.1版本,这个主题我挺喜欢的,之前也有朋友给我提供过原版主题,一直想要破解但是后来找了几个SG11解密的大哥都表示解密需要大几百大洋,所以一直被搁置了。其中的 admin.php 为后台地址 改成你的苹果 cms 登录后台的文件例如 xxx.php。主题后台地址:海螺主题设置,/admin.php/admin/conch/theme。网站模板选择好之后一定要先访问前台,然后再进入后台设置。幻灯片推荐位自定义设置,支持分类单独设置幻灯片。WAP 手机端自适应。
CTF-NSSCTF题单[GKCTF2020]
2302_78903258的博客
07-24 1246
在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。访问/eval的路由,会设置一个delay,和你传入的get参数的delay进行比较,取较大的那个,然后setTimeout是延时函数,delay秒后就会执行第一个参数,即next(),否则就会send出timeout。是假的,但是有线索,提示说真正的flag的在。
"深度解析PHP Yii框架源码及入口index.php
接下来,我们将重点关注Yii框架的核心部分,即Yii.php文件。在这个文件中,包含了Yii框架的核心类和方法,这些类和方法是构建整个框架的基础。通过对这些类和方法的深入分析,我们可以更好地了解Yii框架的内部结构和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值