yii2.0源码实现csrf验证

最新推荐文章于 2019-03-07 00:01:32 发布
最新推荐文章于 2019-03-07 00:01:32 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: php 文章标签: yii php csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w15249243295/article/details/52757142
版权
在yii\helpers\Html beginForm创建表单的时候,加入了csrf_token,name=_csrf-backend,type=hidden。这部分代码并不是很麻烦,这里就不再介绍了。下面主要介绍的是yii是怎么进行csrf验证的。 

class Request
{
    /**
     * csrf token mask的长度
     */
    const CSRF_MASK_LENGTH = 8;
    private $_csrfToken;


    /**
     * @param bool $regenerate true每次都重新生成csrfToken,如果为true每次也都会生成token
     * @return mixed 返回csrfToken
     */
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {
            //重新生成token或者从cookie或session中读取之前的token
            if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
                $token = $this->generateCsrfToken();
            }
            // the mask doesn't need to be very random
            $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
            /*
             * 这里的static可以用self替换,php官网上解释5年以前是static当作self再用。
             * str_repeat将目标字符串重复多少次
             * str_shuffle随机打乱字符串顺序
             */
            $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);


            //base64_encode 使二进制数据可以通过非纯 8-bit 的传输层传输
            $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
        }


        return $this->_csrfToken;
    }




    /**
     * 返回两个字符串异或的结果,返回的应该是byte类型的。
     * @param $token1 $token
     * @param $token2 $mask
     * @return 
     */
    private function xorTokens($token1, $token2)
    {
        $n1 = StringHelper::byteLength($token1);
        $n2 = StringHelper::byteLength($token2);
        if ($n1 > $n2) {
            $token2 = str_pad($token2, $n1, $token2);
        } elseif ($n1 < $n2) {
            $token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1);
        }


        return $token1 ^ $token2;
    }


    /**
     * 获取token
     * @return mixed
     */
    protected function loadCsrfToken()
    {
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        } else {
            return Yii::$app->getSession()->get($this->csrfParam);
        }
    }


    /**
     * 验证csrfToken
     * @param $token
     * @param $trueToken
     * @return bool
     */
    private function validateCsrfTokenInternal($token, $trueToken)
    {
        if (!is_string($token)) {
            return false;
        }


        $token = base64_decode(str_replace('.', '+', $token));
        $n = StringHelper::byteLength($token);
        if ($n <= static::CSRF_MASK_LENGTH) {
            return false;
        }
        $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
        $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
        $token = $this->xorTokens($mask, $token);


        return $token === $trueToken;
    }
}

整个的过程是:

通过session或者cookie里面保存的是csrf的明文token,通过一个随机的mask,以一定的规则(异或)加密token,同时将mask拼接到加密token上,因为异或操作使用到了byte,为了方便传输,需要base64_encode()生成新的csrf_token放到表单当中。
验证的时候,base64_decode()解码csrf_token,根据设定的mask长度截取csrf_token得到mask,然后再截取剩下的得到的是加密token,

mask与加密token做异或操作得到原来明文token(因为a异或b等于c,b异或c等于a),与session或cookie中的明文token验证。


上面我有一点不太懂的就是在操作base64_decode()得到的token的时候,为什么都是用mb_strlen(),mb_substr()。可能是异或生成的字符串的编码问题了。。。就写到这里吧,懂了我再更新好了。

yii网站源码
07-10
5. **身份验证和授权**:Yii提供了基于角色的访问控制(RBAC),方便实现用户权限管理。 6. **缓存管理**:支持多种缓存策略,包括文件缓存、数据库缓存、APC、Memcached和Redis,有助于提升网站响应速度。 7. **...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yinjiyufei的博客
01-14 3306
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
yii2.0的csrf问题
Harakin的博客
10-25 473
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
Yii框架的CSRF验证
bayren820的博客
01-10 526
Yii框架的CSRF验证
yii _csrf 验证,解决
清晨的一缕阳光
07-31 2169
解决POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ] 第一种解决办法是关闭Csrf public $enableCsrfValidation = false;   第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) 在main.php文件里面 'request' =&gt; [ 'csrfParam' =&g...
yii2高级版,退出的时候报400错误。
一杯苦恰啡的博客
05-15 563
前后台分理离需要在各自的配置文件main.php中设置component的user组件中identityCookie参数和idParam参数,否则当管理员登录了前台的账号的时候,再登录后台,前台账号的会话信息会被覆盖。 前台frontend配置如下:components=>[ 'user'=>[ 'identityClass' => 'frontend\models\Use
Yii Framework v2.0.49.3.zip
最新发布
04-10
5. **安全特性**:Yii 内置了防止 SQL 注入、XSS 攻击的安全措施,还有身份验证、授权和CSRF防护,确保应用程序的安全性。 6. **RESTful API 支持**:Yii 2 提供了强大的 RESTful API 开发工具,使得构建和消费 Web...
YII后台源码
01-11
6. **安全**:理解并实施 Yii2 的安全措施,如 CSRF 防护、XSS 防御、输入验证等。 7. **缓存**:利用 Yii2 的缓存机制提高应用程序的性能。 8. **API 开发**:如果后台需要支持 RESTful API,了解如何创建和测试 ...
yii-master.zip
05-12
Yii提供了许多安全防护措施,如防止SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。它还提供了用户认证和授权机制,帮助开发者构建安全的应用。 九、命令行工具 Yii的Gii工具可以帮助开发者快速生成常见的...
blogdemo2-1.12.zip
10-13
在 `blogdemo2-1.12.zip` 文件中,包含的是一个基于 Yii 2.0 框架的 "advanced" 模板源码示例。这个模板是专门为大型或复杂的项目设计的,它将应用分为前后台两部分,每个部分都有独立的入口文件、配置和目录结构,...
yii2框架-yii2局部关闭(开启)csrf验证 ------ 400错误
梦情与你的博客
03-07 523
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
Yii 2 —— Backend自动出现登录页
weixin_34221036的博客
11-09 349
1.1  Backend自动出现登录页用http://backend/访问后端时,页面会自动被重定向到http://backend/index.php?r=site%2Flogin,要求进行登录,这其中的流程是怎样的? 按照YII的理念,框架在处理http://backend/这种链接时,首先要找到默认的controller,然后再找默认的action。1.1.1  获取默认controller在...
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2CSRF验证
czh0423的专栏
07-17 2847
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
yii2 关于csrf
weixin_30535167的博客
12-02 119
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
yii2框架-restful的请求参数token验证(二十三)
热门推荐
bingcool
08-06 1万+
最近出行市场发生一件大事:滴滴收购uber中国,两者正式联姻。对于这次的收购合并,其实对于滴滴和uber来说都是双赢的。两者在市场的竞争中已经烧了不少的钱,而且uber的股东也建议TK(uber创始人)和滴滴讲和,不能在这样子无尽烧钱,毕竟人家投资人是要挣钱的。滴滴目前可以说是已经是国内的出行市场的老大了,乐视投资的”易到“已经是基本边缘化的了。滴滴和uber的联姻都可以说明到过去的创业独角兽以前...
yii2-restful的全局认证和局部认证的接口设置
bingcool
01-13 5923
yii2在使用restful作为接口的时候,yii\rest\Controller中已经把全局的csrf验证设置为false,public $enableCsrfValidation = false;也就是在post数据的时候,不会在进行_csrf参数的验证。那么在开发restful接口的时候,比如一个app的服务端restful接口,用户分为游客和登录用户,一开始,游客打开这个app的时候,他并...
yii2 csrf验证以及token管理
weixin_33850890的博客
04-21 729
为什么80%的码农都做不了架构师?>>> ...
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5411
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
Yii2.0 GridView实现两表联查、搜索与分页详解
"Yii2.0小部件GridView用于实现两表联查、搜索和分页功能的代码示例。在Yii2.0框架中,GridView是常用的数据展示工具,能够方便地处理复杂的数据操作,如关联查询、筛选和分页。" 在Yii2.0框架中,GridView是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值