yii2 csrf

最新推荐文章于 2021-08-05 16:11:35 发布
最新推荐文章于 2021-08-05 16:11:35 发布
阅读量5.2w 收藏
点赞数
分类专栏: Yii2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pcyph/article/details/43428849
版权

今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:

  http://www.o-xx.com/wordpress/?p=16    

http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

2009040916453171


上图是csrf攻击的简单原理,根据这个原理可以知道攻击者B不能拿到web A埋在user C中的cookie,那么就简单了,在user C访问web A时,web A在user C 的浏览器中埋下一个cookie,同时在post提交信息的地方放一段token,user C post 提交表单时,同时将token值提交到web A的服务器,web A将token值和user A的cookie做关联性的验证,验证真实性,这样就能知道是否是由user A 来提交的表单了。

那么在yii2.0中是怎么做的呢?

首先我们看一下yii2.0渲染的html页面和form表单,

QQ截图20141023093350

QQ图片20141023093431

 

QQ图片20141023093501

上面第二张图可以看到,yii2.0在渲染html页面时,会生成一端meta信息来保存csrf_tonken,在渲染form表单是,会在表单内生成一段hidden 的input 用来保存csrf_tonken。

那么如果我想用ajax 来post数据,或者flash post数据可以吗?答案是NO,会报400错误。QQ截图20141023094442

 

那么如ajax和flash如何来进行post数据呢,有两个方法,第一个方法就是在config\web.php中关闭csrf验证,如下图,设置’enableCsrfValidation’ => false,这样就关闭立刻csrf验证。

QQ截图20141023093918

 

第二个方法就是获取页面中的meta name为csrf-token 的content,在该值作为参数 _csrf的值和其他数据一起post到服务器,如下图:

QQ截图20141023094943

pcyph
关注
专栏目录
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2 ajax post设置csrf
qqwawa123的博客
07-04 363
由于yii2csrf机制,如果是自己写ajax post提交方式,会提示提交数据验证错误,有两种解决方法: 1.关于controller里面的csrf验证 public $enableCsrfValidation = false; 2.根据Yii::$app获取csrftoken; csrfparam=jsonencode(array(Yii::csrfparam = json_encode(array(Yii::csrfparam=jsone​ncode(array(Yii::app->reque
Yii2 CSRF
weixin_30872789的博客
08-23 101
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4596
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii2 关于csrf
weixin_30535167的博客
12-02 111
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
Yii中的csrf
chenzhao635的专栏
04-20 206
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
yii2局部关闭(开启)csrf的验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架中局部关闭和开启CSRF(跨站请求伪造)验证。csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
YII_CSRF_TOKEN
最新发布
04-05
2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为...
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2505
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii框架防止sql注入,xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 282
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
yii2CSRF验证
czh0423的专栏
07-17 2829
在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
YII2框架学习 安全篇(三) csrf攻击和防范
混血王子的博客
06-20 2272
继续讲web安全,这次讲到的是csrf攻击(跨站请求伪造)。看到一篇博客这么介绍csrf:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 发个例子说明一下,例子转载自http://www.cnblogs.com/hydd
yii2.0的csrf问题
Harakin的博客
10-25 458
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
yii2.0源码实现csrf验证
water的博客
10-08 1349
在yii\helpers\Html beginForm创建表单的时候,加入了csrf_token,name=_csrf-backend,type=hidden。这部分代码并不是很麻烦,这里就不再介绍了。下面主要介绍的是yii是怎么进行csrf验证的。 class Request { /** * csrf token mask的长度 */ const CSR
yii防护csrf攻击
zhangzhangdan的博客
07-23 910
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
yii2框架-yii2局部关闭(开启)csrf的验证 ------ 400错误
梦情与你的博客
03-07 518
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
yii2的防御csrf攻击机制
牛奔的博客
06-20 112
csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。yii2csrf的实现功能是在yii\web\request类实现功能的。request类中的属性,默认是true的。public $enableCsrfValidation = true;所以我们在配置文件中的request组件中可以配置该值request => ['enableCo...
Yii2 CSRF防御机制:非Web请求引发的问题与解决方案
Yii2的Request类在处理跨站请求伪造(CSRF)安全策略时起着关键作用。当你试图通过非Web页面方式(如CURL或POSTMAN)执行登录操作时,可能会遇到400 Bad Request的错误,这是因为Yii2默认启用了对CSRF的验证,确保所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值