Yii2.0防御csrf攻击方法

最新推荐文章于 2022-03-17 00:21:50 发布
最新推荐文章于 2022-03-17 00:21:50 发布
阅读量1.2k 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song_csdn1550/article/details/52438934
版权

yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的

通过查阅资料发现,这是CRSF验证的原因

原理:

Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的token;

验证的时候,服务端每次对接收到的请求_POST()过来的一个input hidden _csrf跟客户端的COOKIE中的token进行对照验证

攻击者攻击的原理是利用了客户端的COOKIE,但是攻击者是得不到COOKIE具体的内容的,他只是利用(这里抛开XSS攻击的可能性,由于用户的Cookie很容易由于网站的XSS漏洞而被盗取,这就另外的1%。一般的攻击者看到有需要算Hash值,基本都会放弃了);所以攻击者没法在攻击URL中加入token,这样就无法通过验证。

这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了

解决方案:

1.禁用CRSF验证(不推荐):'enableCsrfValidation' => false,

1
2
3
4
5
6
'components'  => [
     'request'  => [
         'cookieValidationKey'  =>  '83r5HbITBiMfmiYPOZFdL-raVp4O1VV4' ,
         'enableCookieValidation'  => false,
         'enableCsrfValidation'  => false,
     ]

2.数据提交时,携带 csrf 信息

 a.调用组件ActiveForm时,提交数据会自动带上_csrf

 b.ajax提交时可以在头部获取到csrf信息(如下图),与要提交的数据一并提交即可

 

 c.也可以通过php获取csrf信息

1
2
   Yii:: $app ->request->csrfParam;(获取csrf-param)
   Yii:: $app ->request->csrfToken;(获取csrf-token)
Ethan_@
关注
专栏目录
yii2.0的csrf问题
Harakin的博客
10-25 473
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
csrf攻击防御 php,Yii2.0防御csrf攻击方法
weixin_28748675的博客
03-10 196
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过查阅资料发现,这是CRSF验证的原因原理:Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的...
yii2.0源码实现csrf验证
water的博客
10-08 1361
在yii\helpers\Html beginForm创建表单的时候,加入了csrf_token,name=_csrf-backend,type=hidden。这部分代码并不是很麻烦,这里就不再介绍了。下面主要介绍的是yii是怎么进行csrf验证的。 class Request { /** * csrf token mask的长度 */ const CSR
Yii2 关闭和打开csrf 验证
Terry - 专注外贸B2C
08-16 5340
1.在Yii2配置中配置所有:所有的controller都将关闭csrf验证,如果设置成true,则将打开csrf验证。 'request' => [ 'enableCsrfValidation' => false, ],   2.在Yii2 controller中配置当前的controller添加变量,下面的设置将关闭csrf验证。
Yii2.0 rbac 添加了Csrf 依然报错400
Cc_Rain
06-24 434
这个问题困扰了我好久 特别郁闷。明明在layout的main文件中添加了 <?= Html::csrfMetaTags() ?>但在提交的时候就是提示400 验证数据错误。关闭了csrf验证就完全可以。 最后找到问题原因是引入yii.js 和jquery.js的问题。<script src="/qdyy/backend/web/assets/604c8cd2/jquery.js"></scrip
Yii 2.0 权威指南-10142017.pdf.tar.gz_Yii2.0_yes_yii框架
09-23
5. **安全防护**:Yii 内置了多种安全防护机制,如输入验证、防止 SQL 注入、XSS 防御CSRF 防护等,保障应用的安全性。 6. **RESTful API 支持**:Yii 2.0 支持构建 RESTful Web 服务,方便创建和消费 JSON 或 ...
learn_yii2:yii2.0Blog系统
03-11
- CSRF防护、XSS防护和SQL注入防御等安全机制都是Yii2.0的标准配置。 7. **表单处理**: - 表单验证通过模型的规则定义完成,确保输入数据的有效性。 - 表单渲染和处理由视图和控制器协同完成,简化了前后端交互...
yii2.0框架
08-17
Yii 提供了全面的安全防护机制,包括输入验证、SQL注入防御、XSS攻击防护、CSRF令牌保护等,确保应用的安全性。 ### 6. 性能优化 Yii 2.0 使用了缓存策略,如页面缓存、数据缓存、fragment缓存等,同时支持...
Yii2.0框架培训资料详细大纲
- CSRF/XSS等攻击防御策略 - 数据加密和安全存储 7. **性能优化**: - 使用缓存来提升性能 - 代码调试和性能分析工具 - 扩展和模块的性能考量 8. **开发高级主题**: - RESTful API的设计和实现 - 单元...
Yii快速入门教程+2.0中文手册
09-20
Yii有强大的安全防护机制,如输入验证、防止SQL注入、XSS攻击防御CSRF保护等,确保应用的安全性。 9. **缓存管理** Yii内置了多种缓存策略,包括文件缓存、APC缓存、Memcached和Redis等,可以优化应用性能。 ...
CSRF总结(一)
qq_43511094的博客
03-17 5239
文件包含漏洞相关知识总结 文件包含漏洞概念 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入 2. 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者网站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否允许include/require远程文件 常见文件包含函数 include() require() include_once
yii2框架-yii2局部关闭(开启)csrf的验证(十七)
bingcool
06-30 1万+
上一节主要是简单地说了一下关于yii2防御csrf攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。(1)全局使用,我们直接在配置文件中设置enableCookieValidation为truerequest =&gt; [ 'enableCookieValidation' =&gt; true, ]如果不需要使用csrf的话,设置'enableCookieValidation' ...
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 491
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5411
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
yii ajax csrf token not verfied 解决
poly_sunny的专栏
02-20 3870
在yii 开启csrf之后,每一个post请求yii 都会验证csrf, 针对使用没有form的ajax post请求,在ajax中不能添加datatype:"json" contentType: "application/json;utf-8", 否则会出现无法验证csrf token的问题。类似这种可以, function submitSearch(){ . . . . .
Yii2 分页面设置 keywords、description
wang78699425的专栏
06-04 1279
Yii2 分页面设置 keywords、description 需求:如果页面有自己的 keywords,description,使用页面的TDK;如果页面没有自己的 keywords,description,使用默认的 keywords,description。 layout文件中:main.php的写法: &amp;lt;head&amp;gt; &amp;lt;meta charset=&quot;&amp;l...
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
Csrf攻击的解决思路
阿星的博客
03-13 782
1.什么是Csrf攻击 关于什么是csrf攻击,这里不多赘述,可以参考下面的文章,写的不错。 浅谈CSRF攻击方式,今天这里主要记录如何防御csrf攻击。 2.防御csrf攻击 这里csrf攻击防御采用以下方案:在用户发送请求之前,先通过ajax请求访问后台,生成一个随机数作为一个token,并将这个token保存在session,同时返回到前台页面,然后前台页面将这个token放在请求中,发送...
CSRF攻击原理及防护
diubrother的博客
03-09 2189
一、CSRF是什么 CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。 二、CSRF攻击原理 CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 三、CSRF攻击实例 角色: 正常浏览网页的用户:User 正...
Yii2.0框架安装与Composer使用指南
"yii2.0中文手册" Yii 2.0 是一款高性能的PHP框架,专为开发Web 2.0应用而设计。本手册详细介绍了如何安装、配置和使用Yii 2.0,以便开发者能够高效地构建复杂的Web应用程序。 ### 安装Yii #### 通过Composer安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值