yii2框架-yii2局部关闭(开启)csrf的验证 ------ 400错误

最新推荐文章于 2021-08-05 16:11:35 发布
最新推荐文章于 2021-08-05 16:11:35 发布
阅读量521 收藏
点赞数 1
分类专栏: yii2 文章标签: yii2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36851500/article/details/88264993
版权

最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。

前提是我没有用ActiveForm表单组件,废话少说,进入正题。

csrf 概念
我怕说的不好,但是我看到一篇文章讲的不错。链接如下:

csrf概念

我个人的理解就是一个服务器token,与cookie session 进行对比,保证数据的合法性和防御CSRF攻击。

如果你不用ActiveForm表单组件,在添加 更新 删除等操作就会出现400错误。我们怎么解决的。

一. 局部关不csrf验证

       public function init(){
    		$this->enableCsrfValidation = false;
    	}

二. 表单中加入csrff

 <input type="hidden" name="_csrf-backend" id='_csrf' value="<?= Yii::$app->request->csrfToken ?>">

这个是重点, 不能这样 name="_csrf" ,否则无效。必须加入后缀。后缀也是规则的。

  1. 查看name配置 可以看到是_csrf-backend
    在这里插入图片描述

  2. 编辑表单

Array ( [_csrf-app] => kQvzekYEWUj2tn2JbOdbzwoy8vrkgNZcJS4EXEWaPTXYRppPCm4yL7zxPMApiGKtfXqEz575-xZ2eW1tMvtFeQ== [login_name] => weixi [login_password] => 123456 )

有什么不足之处,请指正。谢谢。

梦情与你
关注
专栏目录
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii2 CSRF
weixin_30872789的博客
08-23 105
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
yii2 关于csrf
weixin_30535167的博客
12-02 117
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
转:YII2解决POST数据时因启用Csrf出现的400错误
一只烦恼的猪
02-10 264
很久没有写前端了,备注一下。 第一种解决办法是关闭Csrf public function init(){ $this->enableCsrfValidation = false; } 第二种解决办法是在form表单中加入隐藏域 <input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app...
yii2-construction-company:从零开始在php框架yii2上开发的建筑公司的公司网站
03-31
4. **安全特性**:Yii2框架提供了多种安全防护措施,如输入验证、XSS防御、CSRF保护等,确保网站的安全性。 5. **RESTful API支持**:Yii2易于构建符合REST原则的API,适合开发前后端分离的应用。 6. **社区支持与...
yii2-league-oauth2-server:Yii 2.0 实现 PHP 联盟 OAuth2 服务器接口
05-30
总结起来,`yii2-league-oauth2-server`项目为我们提供了一个在Yii 2.0框架中实施OAuth2服务器接口的起点。通过配置存储、定义端点和处理请求,我们可以构建一个符合PHP联盟标准的认证和授权系统,从而保护我们的API...
yii-basic-app-2.0.35.tgz
06-01
5. **安全与性能**:Yii2内置了强大的安全组件,如输入验证、XSS防御、CSRF保护等,保障了应用的安全性。同时,它还提供了缓存机制(如文件、数据库、Redis等),以及SQL查询优化,提升了应用的性能。 6. **持续...
yii2局部关闭(开启)csrf验证的实例代码
10-19
在本文中,我们将深入探讨如何在Yii2框架局部关闭开启CSRF(跨站请求伪造)验证csrf是一种攻击技术,攻击者试图通过伪装用户的身份来执行非用户的意图的操作。Yii2作为一个现代的PHP Web开发框架,提供了内置...
yii-basic-app-2.0.36.tgz
08-14
"yii-basic-app-2.0.36.tgz"是Yii2框架的基础应用模板的压缩包,版本号为2.0.36。这个压缩包是为了方便开发者快速启动一个新的Yii2项目而设计的,它包含了构建基本Web应用所需的所有核心组件和文件。 首先,让我们...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4610
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
Yii中的csrf
chenzhao635的专栏
04-20 217
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
yii2 ajax post设置csrf
qqwawa123的博客
07-04 370
由于yii2csrf机制,如果是自己写ajax post提交方式,会提示提交数据验证错误,有两种解决方法: 1.关于controller里面的csrf验证 public $enableCsrfValidation = false; 2.根据Yii::$app获取csrftoken; csrfparam=jsonencode(array(Yii::csrfparam = json_encode(array(Yii::csrfparam=jsone​ncode(array(Yii::app->reque
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2526
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
YII2框架学习 安全篇(三) csrf攻击和防范
混血王子的博客
06-20 2282
继续讲web安全,这次讲到的是csrf攻击(跨站请求伪造)。看到一篇博客这么介绍csrf:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 发个例子说明一下,例子转载自http://www.cnblogs.com/hydd
yii2的防御csrf攻击机制
牛奔的博客
06-20 120
csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。yii2csrf的实现功能是在yii\web\request类实现功能的。request类中的属性,默认是true的。public $enableCsrfValidation = true;所以我们在配置文件中的request组件中可以配置该值request => ['enableCo...
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 293
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
yii2利用csrf防止表单重复提交
吕秀军的博客
08-11 1759
借助csrf实现防止表单重复提交 [ 2.0 版本 ]  yidashi  2017-03-13 20:32:49  1916次浏览  4条评论  8 3 0 首先,默认情况下,yii2csrf验证是通过cookie来保存token验证的,要实现防止表单重复提交,得先把这个方式改成session。 修改项目配置即可实现 'components' => [ 'requ
csrf攻击防御 php,Yii2.0防御csrf攻击方法
weixin_28748675的博客
03-10 191
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过查阅资料发现,这是CRSF验证的原因原理:Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的...
理解Yii2框架中的CSRF防护机制
"这篇内容主要讨论了Yii2框架在处理CSRF(Cross-Site Request Forgery,跨站请求伪造)防护策略的问题,以及如何在特定情况下禁用此验证以解决非Web页面登录请求失败的问题。" 在Web应用程序开发中,CSRF攻击是一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值