php ci csrf,Codeigniter(CI) 使用 CSRF 功能造成 POST 403

最新推荐文章于 2022-03-25 09:49:22 发布
最新推荐文章于 2022-03-25 09:49:22 发布
阅读量150 收藏
点赞数
文章标签: php ci csrf

今天在工作上遇到在某一個開發站台 URL 在使用瀏覽器 和使用 JS 去 call URL 的 response 有不同的狀況

雖然是一樣開啟 URL,但 resquest 的方式不同造成的回應也有所不同,這就是之前在測試滲透技巧中的一環

狀況說明:

使用 POST 會出現 403 沒有權限 (JS)

使用 GET 可以出現正常的 response 200 (browser)

根據 HTTP 的規範,GET 一般用於資訊查詢,而 POST 一般用於更新修改資訊,也就是 HTTP 中為何要區別 GET、POST、PUT、DELETE 的操作

在此例狀況,由於在開發環境上,所以在系統面沒有針對 POST 進行限制,那遭遇 403 的狀況肯定另有其設定

細查後發現開發環境所使用的是 Codeigniter(CI) 的開發環境,在 CI 本身有一項 csrf protection 的安全功能主要是用來防禦 XSS 等類似的滲透攻擊,所以在執行 POST 的時候會產生安全性阻擋,防止你的網站被串改植入

若要解決這個狀況

1. 依照 csrf 的規範,使用 POST 時必須加入 token

2. 關閉 csrf,從此 POST 權限全開

詳細 csrf protection 設定可以參考官網 Security Class

請按讚:

喜歡 正在載入...

給 Mr. 沙先生一點建議

weixin_39802962
关注
CIcsrf使用说明
飞空静渡
02-19 1279
在application的config中可以开启csrf的设置: $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $c...
php ci框架 源码,CI框架源码完全分析之核心文件Codeigniter.php
weixin_36367249的博客
03-11 623
272月/13$assign_to_config['subclass_prefix']));}/**php 程序运行默认是30s,这里用set_time_limt延长了,关于set_time_Limit() http://www.phpddt.com/php/set_time_limit.html* 扩展阅读,关于safe_mode:http://www.phpddt.com/php/643.ht...
接口报403,报CSRF验证失败的问题
热门推荐
aliven1的博客
05-26 1万+
问题定位:后台两个接口重命,走了优先级更高的接口,接口没有过滤CSRF; 一、csrf是什么 CSRF(Cross-site request forgery)跨站请求伪造,是一种常见的web安全漏洞,概括地说就是指,攻击者通过浏览器保存的Cookie盗用了你的身份,以你的名义给某个网站发送恶意请求,这些恶意请求包括但不限于发邮件、修改账户信息、购买商品、转账等等,如果这个网站没有防御csrf攻击的话,那么这些恶意请求可能会请求成功,从而泄露了个人的隐私安全和财产安全。怎么样,听着够严重吧。 二、.
Mac 环境下 基于CI框架 Apache 403 Forbidden 问题
czhxinyu的专栏
10-28 865
相信不少初学者在搭建php本地开发环境是有遇到过 You don't have permission to access / on this server 这样的提示,一般情况下修改 apache 配置文件 httpd.conf 中的某些选项就好了。但有时也会碰到不凑效的情况,于是从头到尾不知道检查多少遍、重启多少次服务器,甚至怀疑自己的本出了问题。在这里我想提醒的是还有一种情况也会导致这个问题,
ci框架报500 错误_线上服务403 Forbidden错误的调查
weixin_42335570的博客
12-27 362
最近刚刚从老外哪里接手了一个服务, 然后需要每天检查一下服务的状态。 本来这个服务已经运行了好几年也没有改动,是一个相对稳定的服务。在昨天对这个服务进行例行公事的检查的时候, 发现线上监控工具NewRelic报了大量的Forbidden Error。 当时的第一反应就是是不是被攻击了。然后点进上图的“Forbidden”链接, 看具体的请求访问的明细, 首先可以在右上角看到在过去的24小时内, 一...
php编码怎么变西欧了403,post问题,三方post工具可以成功,易代码和易post工具都是403...
weixin_39867708的博客
04-14 101
.版本 2api = “https://movie.douban.com/j/subject/” + 影视id + “/interest”提交数据 = “ck=” + ck + “&interest=” + 获取评分类型 (评分类型) + “&rating=” + 影视分数 + “&foldcollect=F&tags=&comment=” + 编码_URL...
Django 跨站请求伪造(csrf)防御——解决 POST 请求 403 问题
平头
08-08 833
文章目录背景Django 的跨站请求伪造(csrf)防御取消 csrf 防御对某个特定请求开启 csrf 防御设置 csrf token客户端该如何处理 csrf token针对 csrf 的一些配置项 背景 正在使用 Django 框架做项目,需要在页面上进行 POST 请求,请求由 axios 进行处理。 处理过程中总是出现 403 Forbidden,于是仔细研究了一下。 Django 的跨站请求伪造(csrf)防御 如果你啥也不想管,就想让自己的 403 消失,那么可以直接看下一节。 首先什么是 c
jQuery的ajax在CI框架中的应用
01-28
CI框架提供了一个内置的CSRF保护机制,可以通过配置启用并使用CSRF令牌。 6. **Ajax的其他方法** 除了`$.ajax()`,jQuery还提供了其他方便的Ajax方法,如`$.get()`、`$.post()`、`$.getJSON()`等,它们是`$.ajax()...
浅谈php(codeigniter)安全性注意事项
12-20
CodeIgniter框架中,`ci_session`默认就启用了`HTTPOnly`和更长的Session ID,所以推荐使用框架提供的`ci_session`而非原生PHP的`session`。如果你需要使用原生的`session`,记得在`php.ini`中增加`session.sid_...
CI框架源码阅读笔记4 引导文件CodeIgniter.php
专注、专心
11-04 6691
到了这里,终于进入CI框架的核心了。既然是“引导”文件,那么就是对用户的请求、参数等做相应的导向,让用户请求和数据流按照正确的线路各就各位。例如,用户的请求url: http://you.host.com/usr/reg   经过引导文件,实际上会交给Application中的UsrController控制器的reg方法去处理。 这之中,CodeIgniter.php做了哪些工作
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
Sunny_Boy0518的博客
03-25 4176
当前端页面发送POST请求提交数据时,出现Forbidden (403) CSRF verification failed. Request aborted.的解决方法
php ci csrf,CIcsrf使用说明(2)
weixin_34055902的博客
03-10 198
在application的config中可以开启csrf的设置$config['csrf_protection'] = TRUE;$config['csrf_token_name'] = 'csrf_test_name';$config['csrf_cookie_name'] = 'csrf_cookie_name';$config['csrf_expire'] = 7200;$config['c...
php ci csrf,Codeigniter开启CSRF protection时 用ajax post提交 报错的解决办法 | 极安全-JiSec...
weixin_42355865的博客
03-10 417
CI 3.0中有一个csrf(Cross Site Request Forgery) protection的功能开启了csrf后 由于出于安全考虑 ci3中用ajax post 提交 必须要用到toke 令牌如果这个扩展打开了的话POST ajax提交就会报错 我用的nginx 报的403The action you have requested is not allowed.大意是你所要求的行...
php ci csrf,CodeIgniter使用CSRF TOKEN的一个坑
weixin_42524945的博客
03-10 327
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。接下来说说我的代...
spring boot post请求403,get请求成功
topdeveloperr的博客
05-07 7245
项目使用了springboot security.使用的springboot版本是springboot2.0. post请求403错误,表示资源不可用。服务器理解客户的请求,但拒绝处理它,通常由于服务器上文件或目录的权限设置导致的WEB访问错误。 Spring SecurityCSRF 保护默认是开启的,那么在 POST 方式提交表单的时候就必须验证 Token,如果没有,那么自然也...
ci框架 post过滤html,CI框架获取post和get参数_CodeIgniter心得
weixin_34561824的博客
06-05 280
请参考:CI文档的输入类部分:$this->input->post()$this->input->get()-----------------------------------------------------------------------------------------------------------------------本文主要介绍在CodeIgni...
CI框架Security.php源码详解:CSRF和XSS攻击防御策略
CI框架安全类Security.phpCI框架中一个非常重要的组件,它提供了全局防御CSRF攻击和XSS攻击策略,保护用户数据的安全。下面我们将详细分析Security.php文件的源码,了解CI框架的安全机制。 一、Security.php文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值