php ci csrf,Codeigniter开启了CSRF protection后,表单以及ajax传输都要带上一個token的值...

最新推荐文章于 2022-08-19 09:34:37 发布
最新推荐文章于 2022-08-19 09:34:37 发布
阅读量287 收藏 1
点赞数
文章标签: php ci csrf

如果打開這個功能的話

post表单,提交給server 后报错: Error 500

An Error Was Encountered

The action you have requested is not allowed.

會無法執行

這時候要在表單傳送的數值中加入一個token的值

才能正常使用表單功能

可以在application/config/config.php中找到下面這幾行$config['csrf_protection'] = TRUE;

$config['csrf_token_name'] = 'csrf_test_name';

$config['csrf_cookie_name'] = 'csrf_cookie_name';

$config['csrf_expire'] = 7200;

原本$config[‘csrf_protection’]預設是FALSE 改成TRUE就可以打開了

開啟之後 會自動幫你在cookie中存一個值

cookie的name在上面說的config.php中可以設定

之後傳送表單就要連這個token一起傳才行

以下用jquery的ajax功能示範$(function(){

$('#btn').click(function(){

$.ajax({

type:'POST'

,url:'/ajax' //ajax接收的server端

,data:$('#form').serialize()+'&csrf_test_name='+ getCookie('csrf_test_name')

,success:function(data){

alert(data.msg);

}

,dataType:'json'

});

});

});

function getCookie(name){

var arr = document.cookie.match(new RegExp("(^| )"+name+"=([^;]*)(;|$)"));

if(arr != null) return unescape(arr[2]); return null;

}

getCookie()是用js取出cookie的值

這是在網路上找到的 可以直接拿去用

而csrf_test_name就是在config.php中可以設定的參數

將這個cookie抓出來一起送出表單

就可以正常使用了

####表单中,隐藏域实例:csrf_token_name?>" value="security->csrf_hash?>"

另外還有一點就是

如果是用CI內建的form helper

在開啟csrf_protection時 會自動幫你加入這個token的值

我本身是沒有在用啦

如果有在用的人 就會比較方便囉 (或許根本就不會發現這個問題XD)

无可就是九头鸟
关注
CIcsrf的使用说明
飞空静渡
02-19 1288
在application的config中可以开启csrf的设置: $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $c...
浅谈php(codeigniter)安全性注意事项
12-20
一次性Token通常存储在服务器端(如Redis),并随每个表单一起发送。一旦使用,应立即删除或使其失效。这样,即使攻击者截取了数据包,也无法重复使用Token进行非法操作。 总结用户安全登录流程,关键在于妥善管理...
tokenAjax中的使用
It_sharp的博客
06-29 2882
ajax中传递token的作用 防止表单重复提交 用户提交表单后,会携带token到服务器,服务器将session中的token和用户请求带过来的token进行比较,如果相同,会将session中的token进行更新。若用户重复提交,则用户之后发过来的请求token和服务器session中的token是不一致的,所以会导致之后的表单提交失败 防止anti csrf攻击(跨站点请求伪造)  ...
PHP CI框架防范CSRF及XSS源码摘录
daisy_sura的博客
01-31 805
CSRF 基本思路:在表单中增加隐藏input,为随机hash,提交到服务端后与cookie中的hash进行比对。每次提交后,重新生成token和cookie中的。这里以CI为例,Laravel中的思路也基本相同。 配置 /* |-------------------------------------------------------------------------- | Cros...
php ci csrf,CIcsrf的使用说明(2)
weixin_34055902的博客
03-10 204
在application的config中可以开启csrf的设置$config['csrf_protection'] = TRUE;$config['csrf_token_name'] = 'csrf_test_name';$config['csrf_cookie_name'] = 'csrf_cookie_name';$config['csrf_expire'] = 7200;$config['c...
php ci csrf,CodeIgniter中使用CSRF TOKEN的一个坑
weixin_42524945的博客
03-10 333
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。接下来说说我的代...
php ci csrf,CICSRF的改造
weixin_35430535的博客
03-10 153
CICSRF是有缺陷的。只要同时开俩个不同的涉及csrf的页面,http://host/csrf1http://host/csrf2就会发现页面直接互相影响(问题1)。即使同一页面也涉及这样的问题。http://host/csrf1http://host/csrf1也会发现这样的问题(问题2)。先解决简单问题2只需要将配置 csrf_regenerate 设置为 false; 即是cookie过...
Laravel框架基于ajax和layer.js实现无刷新删除功能示例
10-17
一旦用户确认删除,该函数会通过 ajax的$.post方法发送一个HTTP请求到服务器端的路由地址,同时携带了要删除的用户ID和 Laravel CSRF token(为了防止跨站请求伪造攻击)。 服务器端的路由地址会接收到这个请求,并...
CI框架实现框架前后端分离的方法详解
10-20
CodeIgniter(简称CI)是一个轻量级的PHP MVC开发框架,它被广泛用于Web应用开发。CI框架的灵活性使得它能够很好地实现前后端分离。本文将详细介绍如何使用CI框架来实现前后端分离的方法。 首先,实现前后端分离的...
PHP实例开发源码-PHP兴趣分享图谱程序带淘宝客.zip
10-15
该压缩包文件“PHP实例开发源码-PHP兴趣分享图谱程序带淘宝客.zip”包含了一个基于PHP语言的实例开发项目,主要目的是实现一个兴趣分享图谱程序,并且集成了淘宝客功能。从标签“php”我们可以推断,这个项目专注于...
php ci csrf,Codeigniter开启CSRF protection时 用ajax post提交 报错的解决办法 | 极安全-JiSec...
weixin_42355865的博客
03-10 428
CI 3.0中有一个csrf(Cross Site Request Forgery) protection的功能开启csrf后 由于出于安全考虑 ci3中用ajax post 提交 必须要用到toke 令牌如果这个扩展打开了的话POST ajax提交就会报错 我用的nginx 报的403The action you have requested is not allowed.大意是你所要求的行...
CI框架ajax方式post数据时加上csrf验证
SMILENCE
06-13 3505
原理 1.生成一个token串放在cookies里面, 2.把上面那个token放在表单里面, 3.表单回传之后,对比cookies里面的这个token和post里面的token是否相等,不相等就返回错误, 4.为什么可以防御csrf呢,因为cookies是不会被第三方获取的。 下面这段就是一个验证通过示例: $this ->security->csrf_verify();
CodeIgniter-Security的CSRF hash生成功能
coding....
11-11 647
Security/get_random_bytes()的功能是随机生成字符串,用于crsf验证的hash。 ```php public function get_random_bytes($length) { if (empty($length) OR ! ctype_digit((string) $length)) { return FALSE; } // Unfort
CI框架中开启csrf_protection后,表单以及ajax传输都要带上一個token
在工作中记录下美好的瞬间~~
08-04 811
如果打开这个功能的话 post表单,提交给server 后报错: Error 500 An Error Was Encountered The action you have requested is not allowed. 可以在application/config/config.php中找到下面这一行 $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf
php学习(四):CodeIgniter框架,仅次于Laravel的框架(CI 4)
qq_50792097的博客
08-19 2819
CodeIgniter的不断发展,它的安全性和缓存技术,可谓是非常优秀了,在这两方面来说,第二名它当之无愧
使用codeigniter的输入类
ikscher的专栏
02-06 1012
最近写个系统,没有安全过滤输入的,想采用CI的输入类,分析了下,有三个文件是需要的system/core下的 utf8.php,security.php,input.php 可以整合成一个文件,但是比较麻烦,还是用三个文件吧,这样省事点。 使用的时候就像这样: //实例化安全输入类 $UNI = new utf8(); $SEC = new security(); $input =
CodeIgniter框架源码学习之安全类--Security.php
落地窗前梦残夜
08-24 1045
文件位置:./system/core/Security.php /** * CodeIgniter * * An open source application development framework for PHP * * This content is released under the MIT License (MIT) * * Copyright (c)
报错信息:An Error Was Encountered
热门推荐
zhangzhuo1130的博客
08-13 1万+
An Error Was Encountered Unable to load the requested language file: language/chinese/db_lang.php 解决办法: 加上db_lang.php文件,文件内容分别复制相应文件夹的base_lang.php即可 ...
CI框架Security.php源码详解:CSRF和XSS攻击防御策略
CI框架安全类Security.phpCI框架中一个非常重要的组件,它提供了全局防御CSRF攻击和XSS攻击策略,保护用户数据的安全。下面我们将详细分析Security.php文件的源码,了解CI框架的安全机制。 一、Security.php文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值