yii2如何实现在所有表单提交中启用CSRF防护,防止跨站请求伪造攻击?

于 2024-11-19 00:55:57 发布
阅读量438 收藏 6
点赞数 5
分类专栏: PHP 文章标签: csrf 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36777143/article/details/143869579
版权

在 Yii2 中,启用 CSRF 防护是非常重要的,以防止跨站请求伪造(Cross-Site Request Forgery, CSRF)攻击。CSRF 攻击是指攻击者通过伪装用户的请求,向服务器发送恶意指令。启用 CSRF 防护可以确保只有经过认证的用户才能提交表单,从而提高应用的安全性。

使用场景

  1. 登录表单:确保只有经过认证的用户才能提交登录请求。
  2. 注册表单:确保只有经过认证的用户才能提交注册请求。
  3. 编辑资料表单:确保只有经过认证的用户才能提交编辑个人资料的请求。
  4. 支付表单:确保只有经过认证的用户才能提交支付请求。

底层原理

CSRF 防护的基本原理是在每个表单中嵌入一个唯一的 CSRF 令牌,并在服务器端验证这个令牌。具体步骤如下:

  1. 生成 CSRF 令牌:在用户会话中生成一个唯一的 CSRF 令牌。
  2. 嵌入 CSRF 令牌:将 CSRF 令牌嵌入到每个表单中。
  3. 验证 CSRF 令牌:在表单提交时,服务器端验证提交的 CSRF 令牌是否与会话中的令牌匹配。

如何在 Yii2 中启用 CSRF 防护

1. 配置应用

Yii2 默认启用了 CSRF 防护,但你需要确保配置文件中正确设置了相关选项。

config/web.php 中,确保 request 组件的 enableCsrfValidation 属性设置为 true

return [
    'id' => 'basic',
    'basePath' => dirname(__DIR__),
    'bootstrap' => ['log'],
    'components' => [
        'request' => [
            'cookieValidationKey' => 'your_secret_key',
            'enableCsrfValidation' => true,
        ],
        // 其他组件配置
    ],
    // 其他配置
];
2. 在视图中使用 CSRF 令牌

在每个表单中嵌入 CSRF 令牌。Yii2 提供了 Html::csrfMetaTags() 方法来生成 CSRF 令牌的元标签,以及 Html::beginForm() 方法来生成包含 CSRF 令牌的表单。

示例:登录表单
<!-- views/site/login.php -->
<?php
use yii\helpers\Html;
use yii\widgets\ActiveForm;
?>

<?php $form = ActiveForm::begin(); ?>

<?= Html::csrfMetaTags() ?>

<?= $form->field($model, 'username')->textInput() ?>
<?= $form->field($model, 'password')->passwordInput() ?>

<button type="submit">Login</button>

<?php ActiveForm::end(); ?>
手动生成表单

如果你不想使用 ActiveForm,也可以手动嵌入 CSRF 令牌:

<!-- views/site/login.php -->
<form method="post">
    <?= Html::csrfMetaTags() ?>
    <input type="text" name="username">
    <input type="password" name="password">
    <button type="submit">Login</button>
</form>

3. 处理 AJAX 请求

对于 AJAX 请求,你需要手动传递 CSRF 令牌。可以在 AJAX 请求中添加一个 X-CSRF-Token 头,或者在请求参数中包含 CSRF 令牌。

示例:使用 jQuery 发送 AJAX 请求
$.ajax({
    url: '/site/login',
    type: 'POST',
    data: {
        username: 'user',
        password: 'pass',
        _csrf: $('meta[name="csrf-token"]').attr('content')
    },
    success: function(response) {
        console.log(response);
    }
});

4. 自定义错误处理

如果 CSRF 验证失败,默认情况下 Yii2 会抛出一个 yii\web\ForbiddenHttpException 异常。你可以自定义错误处理逻辑,例如返回一个友好的错误页面。

示例:自定义错误处理

config/web.php 中添加错误处理器:

return [
    'id' => 'basic',
    'basePath' => dirname(__DIR__),
    'bootstrap' => ['log'],
    'components' => [
        'request' => [
            'cookieValidationKey' => 'your_secret_key',
            'enableCsrfValidation' => true,
        ],
        'errorHandler' => [
            'errorAction' => 'site/error',
        ],
    ],
    'params' => $params,
];

SiteController 中添加错误处理动作:

namespace app\controllers;

use Yii;
use yii\web\Controller;

class SiteController extends Controller
{
    public function actionError()
    {
        $exception = Yii::$app->errorHandler->exception;
        if ($exception instanceof \yii\web\ForbiddenHttpException) {
            return $this->render('csrf-error', ['exception' => $exception]);
        }
        return $this->render('error', ['exception' => $exception]);
    }
}

总结

通过上述步骤,你可以在 Yii2 中启用 CSRF 防护,确保所有表单提交都受到保护,防止跨站请求伪造攻击。这些措施不仅提高了应用的安全性,还增强了代码的健壮性和可靠性。

yii2框架-yii2局部关闭(开启)csrf的验证(十七)
bingcool
06-30 1万+
上一节主要是简单地说了一下关于yii2的防御csrf攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。(1)全局使用,我们直接在配置文件中设置enableCookieValidation为truerequest =&gt; [ 'enableCookieValidation' =&gt; true, ]如果不需要使用csrf的话,设置'enableCookieValidation' ...
yii2学习之CSRF验证
热门推荐
小刚的博客
08-12 1万+
什么是CSRFCSRF跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii2 CSRF
weixin_30872789的博客
08-23 125
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
Yii2csrf token验证
诗与远方_
10-15 1620
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
Yii2 中禁用csrf校验
K386218685的博客
05-06 305
Yii2 默认开启csrf校验,但是有些时候确实不需要校验,比如对外提供API 一般做法直接在xxController中增加属性:   public $enableCsrfValidation = false; 但是这样整个xxController都失去了校验,开发中又只是希望某一个action禁用   在components下建文件NoCsrf.php,   内容:    ...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4635
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
Yii2 关闭和打开csrf 验证
Terry - 专注外贸B2C
08-16 5378
1.在Yii2配置中配置所有:所有的controller都将关闭csrf验证,如果设置成true,则将打开csrf验证。 'request' => [ 'enableCsrfValidation' => false, ],   2.在Yii2 controller中配置当前的controller添加变量,下面的设置将关闭csrf验证。
yii2局部关闭(开启)csrf的验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架中局部关闭和开启CSRF跨站请求伪造)验证。csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
Yii2 CSRF防御机制:非Web请求引发的问题与解决方案
Yii2的Request类在处理跨站请求伪造(CSRF)安全策略时起着关键作用。当你试图通过非Web页面方式(如CURL或POSTMAN)执行登录操作时,可能会遇到400 Bad Request的错误,这是因为Yii2默认启用了对CSRF的验证,确保所有...
Yii框架防止SQL注入与XSS攻击技术笔记
3. 防范跨站请求伪造(CSRF): - Yii提供了CSRF防护机制,可以通过开启`Yii::app()->request->enableCsrfValidation`来启用。这将自动在表单中添加一个隐藏的CSRF令牌字段,并在提交时验证该令牌,防止非预期的跨域...
YII_CSRF_TOKEN
最新发布
04-05
Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造CSRF攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的...
yii2发送异步请求中的小问题,有效处理csrf验证
zfeig的专栏
02-02 5101
最近在使用yii2,打算做一个通用的后台系统,实现用户登录和后台基本操作:登录操作采用系统自带的identify组件;后台界面采用bootstrap处理,模板采用网上的后台模板页,不过该模板bootstrap版本过低,改成v3版;界面如下: 界面是响应式的,功能菜单可以自由定制,只要把链接定义写到后台首页即可,十分方便,扩展性强,省了不少麻烦; 说说遇到的问题;比如在做消息回复
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2599
什么是CSRFCSRF跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2关闭csrf验证
benben0729的专栏
09-06 1210
在使用Yii2进行开发是,遇到一个提交的数据无法被验证的问题,这是因为yii2的防御csrf攻击机制 解决方法在类中定义以下属性 public $enableCsrfValidation = false; class ChannelController extends Controller { public $enableCsrfValidation = false; /*...
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 327
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
CSR证书创建与配置以及SSL证书
weixin_43258559的博客
11-25 5049
申请证书请求文件
常见安全漏洞及整改建议
sjh_c513的专栏
12-09 4602
1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买
odoo官方文档第九章 Web Controllers(路由控制)
aochewu5931的博客
10-10 863
Web Controllers Routing odoo.http.route(route=None, **kw) 装饰器将装饰方法标记为请求的处理程序。 该方法必须是Controller子类的一部分。 Parameters : route:-- 字符串或数组。 路径部分将确定哪些http请求将与装饰方法匹配。 可以是单个字符串或字符串数组。 有关路由表达格式的信息,请参阅werkzeu...
PHP面试题精讲—从Yii2源码ActiveForm看如何安全处理表单验证
Code Metaverse
08-01 1331
日拱一卒无有尽,功不唐捐终入海 ???? 目录一、问题:什么是安全的表单验证?二、经典场景:用户登录三、分析`ActiveForm`源码1.`enableClientValidation`客户端验证三、CSRF四、模型校验五、评论区作业1. 原生PHP写法下如何防止SQL注入?六、总结 一、问题:什么是安全的表单验证? 这个问题一般会作为面试题出现,因为PHP运用最广泛的还是web,那么对于web来讲,就会有表单处理数据。 那么,如何处理表单,也就成了一个难以避开的经典问题。 二、经典场景:用户登录 以
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值