php 提取二维数组的key,PHP 获取二维数组中某个key的集合

一、CSRF

即Cross-site request forgery跨站请求伪造，是指有人冒充你的身份进行一些恶意操作。

比如你登录了网站A，网站A在你的电脑设置了cookie用以标识身份和状态，然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作，因为网站B在请求网站A时，浏览器会自动发送之前设置的cookie信息，让网站A误认为仍然是你在进行操作。

对于csrf的防范，一般都会放在服务器端进行，那么我们来看下Yii2中是如何进行防范的。

二、Yii2 CSRF

首先说明一下，我安装的是Yii2高级模版。

csrf token生成

vendor\yiisoft\yii2\web\Request.php

public function getCsrfToken($regenerate = false)

{

if ($this->_csrfToken === null || $regenerate) {

if ($regenerate || ($token = $this->loadCsrfToken()) === null) {

$token = $this->generateCsrfToken();

}

// the mask doesn't need to be very random

$chars =

'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';

$mask = substr(str_shuffle(str_repeat($chars, 5)), 0,

static::CSRF_MASK_LENGTH);

// The + sign may be decoded as blank space later, which will fail the

validation

$this->_csrfToken = str_replace('+', '.', base64_encode($mask .

$this->xorTokens($token, $mask)));

}

return $this->_csrfToken;

}

getCsrfToken方法首先会用loadCsrfToken方法尝试加载已存在的token，如果没有则用generateCsrfToken方法再生成一个，并经过后续处理，得到最终的前台请求时携带的csrf

token。

protected function loadCsrfToken()

{

if ($this->enableCsrfCookie) {

return $this->getCookies()->getValue($this->csrfParam);

} else {

return Yii::$app->getSession()->get($this->csrfParam);

}

}

loadCsrfToken方法会尝试从cookie或session中加载已经存在的token，enableCsrfCookie默认为true，所以一般会从cookie中获取

public function getCookies()

{

if ($this->_cookies === null) {

$this->_cookies = new CookieCollection($this->loadCookies(), [

'readOnly' => true,

]);

}

return $this->_cookies;

}

这里又调用了loadCookies方法

protected function loadCookies()

{

$cookies = [];

if ($this->enableCookieValidation) {

if ($this->cookieValidationKey == '') {

throw new InvalidConfigException(get_class($this) . '::cookieValidationKey

must be configured with a secret key.');

}

foreach ($_COOKIE as $name => $value) {

if (!is_string($value)) {

continue;

}

$data = Yii::$app->getSecurity()->validateData($value,

$this->cookieValidationKey);

if ($data === false) {

continue;

}

$data = @unserialize($data);

if (is_array($data) && isset($data[0], $data[1]) &&

$data[0] === $name) {

$cookies[$name] = new Cookie([

'name' => $name,

'value' => $data[1],

'expire' => null,

]);

}

}

} else {

foreach ($_COOKIE as $name => $value) {

$cookies[$name] = new Cookie([

'name' => $name,

'value' => $value,

'expire' => null,

]);

}

}

return $cookies;

}

这里就是解析验证$_COOKIE中的数据。

cookies设置

vendor\yiisoft\yii2\web\Response.php

protected function sendCookies()

{

if ($this->_cookies === null) {

return;

}

$request = Yii::$app->getRequest();

if ($request->enableCookieValidation) {

if ($request->cookieValidationKey == '') {

throw new InvalidConfigException(get_class($request) .

'::cookieValidationKey must be configured with a secret key.');

}

$validationKey = $request->cookieValidationKey;

}

foreach ($this->getCookies() as $cookie) {

$value = $cookie->value;

if ($cookie->expire != 1 && isset($validationKey)) {

$value =

Yii::$app->getSecurity()->hashData(serialize([$cookie->name, $value]),

$validationKey);

}

setcookie($cookie->name, $value, $cookie->expire, $cookie->path,

$cookie->domain, $cookie->secure, $cookie->httpOnly);

}

}

sendCookies方法利用cookieValidationKey对cookie进行一系列处理，主要是为了获取的时候进行验证，防止cookie被篡改。

public function getCookies()

{

if ($this->_cookies === null) {

$this->_cookies = new CookieCollection;

}

return $this->_cookies;

}

这里的getCookies方法跟request中的不同，并不会从$_COOKIE中获取，_cookies属性在request中的generateCsrfToken方法中有进行设置

protected function generateCsrfToken()

{

$token = Yii::$app->getSecurity()->generateRandomString();

if ($this->enableCsrfCookie) {

$cookie = $this->createCsrfCookie($token);

Yii::$app->getResponse()->getCookies()->add($cookie);

} else {

Yii::$app->getSession()->set($this->csrfParam, $token);

}

return $token;

}

csrf验证

vendor\yiisoft\yii2\web\Request.php

public function validateCsrfToken($token = null)

{

$method = $this->getMethod();

// only validate CSRF token on non-"safe" methods

http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1

if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD',

'OPTIONS'], true)) {

return true;

}

$trueToken = $this->loadCsrfToken();

if ($token !== null) {

return $this->validateCsrfTokenInternal($token, $trueToken);

} else {

return

$this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam),

$trueToken)

|| $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(),

$trueToken);

}

}

这里先验证一下请求方式，接着获取cookie中的token，然后用validateCsrfTokenInternal方法进行对比

private function validateCsrfTokenInternal($token, $trueToken)

{

if (!is_string($token)) {

return false;

}

$token = base64_decode(str_replace('.', '+', $token));

$n = StringHelper::byteLength($token);

if ($n <= static::CSRF_MASK_LENGTH) {

return false;

}

$mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);

$token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n -

static::CSRF_MASK_LENGTH);

$token = $this->xorTokens($mask, $token);

return $token === $trueToken;

}

解析请求携带的csrf token 进行对比并返回结果。

三、总结

Yii2的做法就是先生成一个随机token，存入cookie中，同时在请求中携带随机生成的csrf

token，也是基于之前的随机token而生成的，验证的时候对cookie和csrf

token进行解析，得到随机token进行对比，从而判断请求是否合法。

最后，本文只是对大概的流程进行了分析，具体的细节还请查看源码。