yii 2 局部关闭 CSRF 拦截

最新推荐文章于 2020-11-17 16:02:07 发布
最新推荐文章于 2020-11-17 16:02:07 发布
阅读量68 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000002474925
版权

最近在拿 yii 2.0 开发微信公众平台,在微信 post 请求接口时,没有返回数据,于是查询 yii 错误日志,发现错误为

exception ‘yii\web\BadRequestHttpException’ with message ‘Unable to verify your data submission

于是查看源代码,yii 2.0 在 我们继承的顶级 controller 中,有下列属性

    /**
     * @var boolean whether to enable CSRF validation for the actions in this controller.
     * CSRF validation is enabled only when both this property and [[Request::enableCsrfValidation]] are true.
     */
    public $enableCsrfValidation = true;

106 行的 beforeAction 内,对他做了处理

public function beforeAction($action)
    {
        if (parent::beforeAction($action)) {
            if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
                throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
            }
            return true;
        } else {
            return false;
        }
    }

于是找到错误原因:

yii 2.0 内,对 CSRF 攻击做了处理,会对 post 提交的数据做 token 验证,而微信 post 到我们服务器的代码中,没有带上这个 token ,所以会验证失败

解决方法:

1、在我们的控制器里面,加上这行属性,设置为 false

public $enableCsrfValidation = false;

你还可以直接修改顶层控制器的 $enableCsrfValidation ,但是不推荐这样做!

weixin_33863087
关注
yii2 ajax post设置csrf
qqwawa123的博客
07-04 370
由于yii2的csrf机制,如果是自己写ajax post提交方式,会提示提交数据验证错误,有两种解决方法: 1.关于controller里面的csrf验证 public $enableCsrfValidation = false; 2.根据Yii::$app获取csrftoken; csrfparam=jsonencode(array(Yii::csrfparam = json_encode(array(Yii::csrfparam=jsone​ncode(array(Yii::app->reque
yii2框架-yii2局部关闭(开启)csrf的验证(十七)
热门推荐
bingcool
06-30 1万+
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。(1)全局使用,我们直接在配置文件中设置enableCookieValidation为truerequest => [ 'enableCookieValidation' => true, ]如果不需要使用csrf的话,设置'enableCookieValidation' ...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4608
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2的csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
Yii 在控制器具体方法中关闭csrf验证
win_von的博客
12-12 760
我们知道如何中控制器中关闭csrf验证; public $enableCsrfValidation=false;   那如果,需要关闭控制器某些方法的csrf验证该如何处理呢?  控制器都继承 yii\web\Controller的话,那么你可以在该控制器下如下操作 class PublicController extends Controller { private ...
yii提交数据报错yii\web\BadRequestHttpException: 您提交的数据无法被验证。 in C:\phpStudy\plugins\PHPTutorial\WWW\bljgro
weixin_44432032的博客
11-17 1411
在表单提交验证的时候报错yii\web\BadRequestHttpException: 您提交的数据无法被验证。 in C:\phpStudy\plugins\PHPTutorial\WWW\bljgroups\vendor\yiisoft\yii2\web\Controller.php:166 具体的错误信息是: An Error occurred while handling another error: yii\base\InvalidRouteException: Unable to resolv
Exception Yii2 错误处理常用汇总方法
项目中的细节控
09-22 1110
200: OK。一切正常。 201: 响应POST请求时成功创建一个资源。Locationheader 包含的URL指向新创建的资源。 204: 该请求被成功处理,响应不包含正文内容 (类似DELETE请求)。 304: 资源没有被修改。可以使用缓存的版本。 400: 错误的请求。可能通过用户方面的多种原因引起的,例如在请求体内有无效的JSON 数据,无效的操作参数,等等。 401: 验证失败。 403: 已经经过身份验证的用户不允许访问指定的 API 末端。 404: 所请求的资源...
yii2局部关闭(开启)csrf的验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架中局部关闭和开启CSRF(跨站请求伪造)验证。csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
Yii2的csrf token验证
诗与远方_
10-15 1565
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
无法验证数据
liuchenhui00的专栏
12-09 728
“/”应用程序中的服务器错误。 无法验证数据。说明: 执行当前 Web 请求期间,出现未处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。 异常详细信息: System.Web.HttpException: 无法验证数据。解决办法:开启 Forms身份验证
提交表单报400错误,提示 “您提交的数据无法验证”
aa545785的博客
10-07 2268
提交表单报400错误,提示 “您提交的数据无法验证” 原来是csrf验证的问题,因为表单是自己写的,在Yii框架中,为了防止csrf攻击,对post的表单数据封装了CSRF令牌验证。 解决办法关闭csrf验证 frontend/config/main-local.php中 方法一、在配置文件中关闭 'components'=>array( 'request'=...
yii2 csrf验证原理分析
weixin_34270606的博客
11-16 89
知识补充 因为yii2 csrf的验证的加解密 涉及到异或运算 所以需要先补充php里字符串异或运算的相关知识,不需要的可以跳过 ^异或运算不一样返回1 否者返回 0在PHP语言中,经常用来做加密的运算,解密也直接用^就行字符串运算时 利用字符的ascii码转换为2进制来运算单个字符运算举例的ascii见下表 字符 二进制 ...
yii2关闭csrf验证
benben0729的专栏
09-06 1173
在使用Yii2进行开发是,遇到一个提交的数据无法被验证的问题,这是因为yii2的防御csrf的攻击机制 解决方法在类中定义以下属性 public $enableCsrfValidation = false; class ChannelController extends Controller { public $enableCsrfValidation = false; /*...
[Yii2]Unable to verify your data submission(你提交的资料无法被验证)
weixin_30360497的博客
08-17 255
Yii2中,使用form提交数据,会提示: [yii\web\HttpException:400] exception 'yii\web\BadRequestHttpException' with message '您提交的資料無法被驗證。'的错误信息。 我尝试在form中添加 <?= Html::csrfMetaTags() ?> 错误依旧。 尝试在控制器中添加 ...
毕业设计论文Django+Vue学生选课系统.docx
10-16
毕业设计论文
塞尔达卡通风格自然场景环境森林:Pure Nature - 1.1
10-16
3D 风格化自然环境资产包,提供多样化的预制件,适用于 Unity 场景。 功能特征: 植被:桦树、橡树、松树、雪松、枯树、灌木、蘑菇、常春藤、花草。 岩石:悬崖、巨石、岩石、模块化岩石。 道具:废墟、瀑布。 材质:草地、草地 / 沙地、草地 / 泥地、沙子、沙滩、沙砾、泥地、雪地。 演示场景:展示所有预制件及其变体。 环境管理器:控制风和草地渲染距离。 预设:包括不同时间和天气条件。 后期处理堆栈预设。 LOD 支持:大多数预制件。 自定义着色器:草地、树木、岩石、水、体积云、广告牌效果。 附加信息: 包含 URP 版本。 提供空场景,便于用户自行绘制和填充。 所有内容附带预制件,方便直接使用。
京东电商 商品价格实时 监控,感兴趣的下载试试呗
最新发布
10-16
京东电商 商品价格实时 监控,感兴趣的下载试试呗
理解Yii2框架中的CSRF防护机制
"这篇内容主要讨论了Yii2框架在处理CSRF(Cross-Site Request Forgery,跨站请求伪造)防护策略的问题,以及如何在特定情况下禁用此验证以解决非Web页面登录请求失败的问题。" 在Web应用程序开发中,CSRF攻击是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值