yii2 csrf验证以及token管理

最新推荐文章于 2021-08-05 16:11:35 发布
最新推荐文章于 2021-08-05 16:11:35 发布
阅读量698 收藏 2
点赞数
文章标签: php 后端 java
原文链接:https://my.oschina.net/cxz001/blog/663550
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

开启/关闭csrf

默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:

public $enableCsrfValidation = false;

一般情况下不建议关闭,但api场景可能需要关闭。

TOKEN生成管理

token生成有三种方式

meta标签

在模板中使用 <?=yii\helpers\Html::csrfMetaTags();?> 即可生成meta标签,如下

<meta name="csrf-param" content="_csrf">
<meta name="csrf-token" content="NnNIMTVXUFJuN3tJDDAPAFk4OWBFOAgiBEIiX1kUPTdlJytXQAh9YQ==">

meta标签主要是给ajax用的,ajax提交的时候可以直接从meta中获取csrf-token然后一并提交给后端,csrf-param就是参数名称,也可以直接通过header头提交,以jquery为例:

$.ajaxSetup({
  headers: {
     'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
  }
});

表单隐藏域

使用 <?=yii\helpers\Html::beginForm();?> 替代手动输入 <form> 标签,yii2框架会自动添加一个隐藏的input,类似下面这样:

 <form>
    <input type="hidden" name="_csrf" value="NnNIMTVXUFJuN3tJDDAPAFk4OWBFOAgiBEIiX1kUPTdlJytXQAh9YQ==">

当然,为了保持对称,建议使用 <?=yii\helpers\Html::endForm();?> 替代 </form>

字符串

<?=Yii::$app->request->getCsrfToken();?> 可以直接获取到token,这样随便放在哪个位置,比较灵活。但记得post的时候要记得提交给后端,参数名字的话默认是 _csrf ,也可以通过 Yii::$app->request->csrfParam 获取。

转载于:https://my.oschina.net/cxz001/blog/663550

weixin_33850890
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii2csrf token验证
诗与远方_
10-15 1535
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
yii2 ajax csrf meta,yii2 csrf验证以及token管理
weixin_36017951的博客
08-05 440
开启/关闭csrf默认情况下yii2是开启了csrf验证功能的,如果需要关闭它的话,只要在控制器中设置一个属性就可以:public $enableCsrfValidation = false;一般情况下不建议关闭,但api场景可能需要关闭。TOKEN生成管理token生成有三种方式meta标签在模板中使用 =yii\helpers\Html::csrfMetaTags();?> 即可生成me...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4589
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii ajax csrf token not verfied 解决
poly_sunny的专栏
02-20 3835
在yii 开启csrf之后,每一个post请求yii 都会验证csrf, 针对使用没有form的ajax post请求,在ajax中不能添加datatype:"json" contentType: "application/json;utf-8", 否则会出现无法验证csrf token的问题。类似这种可以, function submitSearch(){ . . . . .
Yii2的Request看其CSRF防范策略
songtaiwu的博客
03-05 420
Yii2的Request看其CSRF防范策略When CSRF validation is enabled, forms submitted to an Yii Web application must be originatedfrom the same application. If not, a 400 HTTP exception will be raised.Note, this fe...
yii2局部关闭(开启)csrf验证的实例代码
10-19
本篇文章主要介绍了yii2局部关闭(开启)csrf验证的实例代码。小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Yii2框架自定义验证规则操作示例
10-17
主要介绍了Yii2框架自定义验证规则操作,结合实例形式分析了Yii2自定义验证规则实现方法、操作技巧与注意事项,需要的朋友可以参考下
Yii2框架数据验证操作实例详解
10-18
主要介绍了Yii2框架数据验证操作,结合实例形式详细分析了Yii框架常见数据验证操作的原理、实现方法及相关操作技巧,需要的朋友可以参考下
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5368
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单。表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2455
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii2 关闭和打开csrf 验证
Terry - 专注外贸B2C
08-16 5282
1.在Yii2配置中配置所有:所有的controller都将关闭csrf验证,如果设置成true,则将打开csrf验证。 'request' => [ 'enableCsrfValidation' => false, ],   2.在Yii2 controller中配置当前的controller添加变量,下面的设置将关闭csrf验证
yii2框架-yii2局部关闭(开启)csrf验证(十七)
热门推荐
bingcool
06-30 1万+
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。(1)全局使用,我们直接在配置文件中设置enableCookieValidation为truerequest =&gt; [ 'enableCookieValidation' =&gt; true, ]如果不需要使用csrf的话,设置'enableCookieValidation' ...
防止csrf攻击之token
yezi__6的博客
04-02 604
1.设置随机字符串,尽量大一些 var csrfToken=parseInt(Math.random()*999999,10); ctx.cookies.set('csrfToken',csrfToken) console.log(ctx.cookies.get('csrfToken')) 2.在表单中提交的数据中加入csrfToken if(post){ ctx.rend...
Postman入门第一坑:提取返回值
yuanwenzhong123的博客
10-14 1088
Postman是做接口测试的,但是很多接口并不是直接就能测,有的需要一些预处理。比如说身份认证,需要传递一个token。如果做网页测试,一般打开登陆界面的时候就会生成一个token,如果返回值是json格式,用Postman从中提取值是很简单的,在Tests中输入: var jsonData =JSON.parse(responseBody);//获取body中返回的所有参数 pm.environment.set("appKey",jsonData.data.keys);//把返回参数中的keys设置
yii2 RESTful access_token api 初步搭建2
拔萝卜的码农
03-23 4894
为了自我学习和交流PHP(jQuery,Linux,lamp,shell,JavaScript,服务器)等一系列的知识,希望光临本博客的人可以进来交流。寻求共同发展。搭建平台。本人博客也有许多的技术文档,希望可以为你提供一些帮助。 QQ群: 191848169   点击链接加入群【PHP技术交流(总群)】 yii2有三种的认证方式: 1、请求参数方式: acc
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 252
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
YII_CSRF_TOKEN
最新发布
04-05
在Yii框架中,YII_CSRF_TOKEN是用于防止跨站请求伪造(CSRF)攻击的令牌。CSRF攻击是一种利用用户已经登录的身份进行恶意操作的攻击方式。通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置文件中进行简单的配置,启用Yii的CSRF验证功能。在components中的request配置中,将enableCsrfValidation设置为true。这样,在每个表单提交时,Yii框架会自动添加一个隐藏字段YII_CSRF_TOKEN,并验证该令牌的有效性。 2. 手动获取YII_CSRF_TOKEN令牌: 如果你自己编写的表单没有使用Yii的表单助手(Form Helper),你需要手动添加一个隐藏字段YII_CSRF_TOKEN。你可以使用Yii的getRequest()方法获取YII_CSRF_TOKEN的值,并将其作为隐藏字段的值。 下面是一个手动添加隐藏字段YII_CSRF_TOKEN的例子: ```php <input type="hidden" value="<?php echo Yii::app()->getRequest()->getCsrfToken(); ?>" name="YII_CSRF_TOKEN" /> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值