php 模拟访问csrf,同一个系统内使用curl模拟post请求如何不被csrf拦截方案

最新推荐文章于 2021-04-04 14:26:57 发布
最新推荐文章于 2021-04-04 14:26:57 发布
阅读量238 收藏
点赞数
文章标签: php 模拟访问csrf

关于csrf的原理和在yii2内的运行建议先看之前发的一篇文 https://nai8.me/article/383

本篇我们要做一个事情,就是在同一个yii2应用中,某个action使用curl模拟表单提交到另一个action,但是你我都知道在yii2内如果发送post请求,需要经过csrf验证,那么使用curl模拟的时候如何通过csrf那?我们来实现。

模拟POST

在这里我使用yii2官方的http客户端扩展,模拟一个post请求很简单,如下代码。

$client = new Client([

'transport' => 'yii\httpclient\CurlTransport',

]);

$response = $client->createRequest()

->setMethod('POST')

->setUrl('https://xxx.com/demo/csrf-post.html')

->setData([

'username'=>'abei2017',

'_csrf'=>Yii::$app->request->getCsrfToken()

])->send();

echo $response->getContent();

以上使我们最先想到的,提交一组数据到某个url,但是这样并不能得到预想的结果。

bVbhsPt?w=800&h=500

原因

之所以被yii2的csrf拦截,主要是因为使用curl模拟POST请求的时候没有奖cookie中的 _csrf 也一起发送给服务器端。这个cookie值将用于csrf的具体验证工作,那就简单了。

$client = new Client([

'transport' => 'yii\httpclient\CurlTransport',

]);

$response = $client->createRequest()

->setMethod('POST')

->setUrl('https://xxx.com/demo/csrf-post.html')

->setCookies([

['name' => '_csrf', 'value' => urlencode($_COOKIE['_csrf'])],

])

->setData([

'username'=>'abei2017',

'_csrf'=>Yii::$app->request->getCsrfToken()

])->send();

echo $response->getContent();

ok,之所以没有使用yii2内置的cookie功能,主要是因为yii2在设置cookie的时候默认是进行加密的,而获取时候会自动解密。

如果使用yii2内置cookie组件获取,则获取是解密后的,再用来模拟就会出问题,我们需要使用curl发送一个经过加密的cookie。

当然如果你也可以配置yii2文件将cookie的加密解密去掉。

大功告成。

刀总
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django中ajax发送post请求 报403错误CSRF验证失败解决方案
12-31
就是新建一个JavaScript文件,然后把网上给的代码粘贴进去,然后在你使用ajax的页面把它引入一下;当然,如果你在网上找到的解决代码包含JQuery的话,那就需要在引入的JQuery之后引入了(毕竟解决代码不唯一,网
php 模拟访问csrf,php curl带有csrf-token验证模拟提交实例详解
weixin_35318343的博客
03-11 243
这次给大家带来php curl带有csrf-token验证模拟提交实例详解,php curl带有csrf-token验证模拟提交的注意事项有哪些,下面就是实战案例,一起来看一下。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子│ form.php –需要模拟的表单│ getForm.php模拟提交程序│ post.php –表单验证程序│└─cookie – ...
CSRF拦截
dency
02-01 894
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 事实上在我经历过的银行项目开发过程中,基本都会采用 spring 框架,所以完全可以不用自己开发 filter 去拦截 csrf 攻击的请求,而直接采用实现 spring 提供的 HandlerInter...
php--- 验证表单,防止csrf
黄星的专栏
05-20 448
加验证码或者 使用token 或者2者都用 详细查看 https://github.com/xing2233/cms/blob/master/application/cmsadmin/controllers/login.php
php 获取 csrf,phpcURL CSRF令牌
weixin_28989315的博客
04-04 212
几个月前,我的同事通过获取工作时间表创建了日历订阅.我相信他是通过cURL完成的.现在我正在建立一个网站,以概述今天应该完成的任务.我想检索计划,以便我可以使用它来显示特定日期工作人员的姓名.我在网上找到了一个教程,解释了如何在登录后获取数据.我做的是我复制了登录表单中输入字段的名称,以及名为signin [_csrf_token]的隐藏字段的名称使用这些名称,我创建了以下代码:$username...
Flask模拟实现CSRF攻击的方法
12-24
1.在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值 2.在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token 3.在用户点击提交的时候,会带上这两个值向后台发起请求
CSRF跨站请求伪造CSRF PHP demo代码
05-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,攻击者通过诱导用户在已登录的网站上执行非预期的操作。在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何防范。 首先,让我们看...
php yii框架 post csrf
小码农的博客
05-04 837
今天贴吧群里的朋友遇到了这个一个问题。  他在使用ajax post 方式 提交的时候 会抛出 400  然后他在yii论坛上面找了一个解决方法 但是这个 _csrf 传过去的是 undefined 。看到这里我倒是知道是什么回事了。这个jq没找到对应的对象。 getRequest()->getCsrfToken(); ?>直接给他赋值成这个 csrf token的值。最后出现了验证识别的
php 模拟访问csrf,详解php curl带有csrf-token验证模拟提交方法
weixin_33101399的博客
03-11 169
通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。要想模拟提交有token验证的网站其实也不难。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子目录结构│ form.php –需要模拟的表单│ getForm.php模拟提交程序│ post.php –表单验证程序│└─cookie – cookie存放目录getForm.php$cookie...
php 屏蔽curl访问,拒绝访问使用cURL php来获取页面内容
weixin_33369808的博客
03-09 818
//set POST variables$url = 'http://cbseresults.nic.in/class12/cbse122014_total.asp';$fields = array('regno' => '6600001','B1' => 'Submit','FrontPage_Form1' => 'Submit',);//url-ify the data fo...
php 模拟访问csrf,PHP中的CSRF(跨站点请求伪造)攻击示例和预防
weixin_36437103的博客
03-11 249
CSRF攻击中有3个玩家受害者的网站(在您的示例中为您的投票网站)[知道他已登录的用户cookie]客户的浏览器(登录时)[知道他的cookie]攻击者的网站[不知道登录用户的cookie]CSRF攻击取决于2个事实浏览器会根据每个请求自动发送cookie我们依靠cookie来标识我们的登录用户(例如:csrfSecret)如果攻击者可以轻易使他人或已登录的用户要求此操作// http://vic...
php curl带有csrf-token验证模拟提交方法
CC_rmvb的博客
10-12 1170
通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。  要想模拟提交有token验证的网站其实也不难。 1.通过正则获取token  2.带上获取到的token模拟提交 下面是一个成功的例子  目录结构 │ form.php –需要模拟的表单  │ getForm.php模拟提交程序  │ post.php –表单验证程序  │  └─cook
php 模拟访问csrf,php curl带有csrf-token验证模拟提交方法
weixin_32237761的博客
03-11 200
这篇文章主要介绍了详解php curl带有csrf-token验证模拟提交方法,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。要想模拟提交有token验证的网站其实也不难。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子目录结构│ form.php –需要模拟的表单│ getForm.ph...
PHPcsrf攻击
Lisam Blog
12-14 5442
由于用户可能会从其他途径POST过来,因此我们需要防止这种情况 原理:在页面生成一个随即串并保存在token中,用于在服务器中比对 index.php 与 temp.php  两个页面示范 index.php 页面: <?php session_start(); $csrf = md5(uniqid(rand(), TRUE)); //生成token $_S
[解决方法] php大form用post方式传递数据过多被截取的问题
weixin_33743703的博客
02-26 224
nginx.conf#keepalive_timeout 60;#send_timeout 3m;client_max_body_size 500m; php.inimax_execution_time = 600max_input_time = 600memory_limit = 32mfile_uploads = onupload_tmp_dir = /tmpupload_max_fi...
网站漏洞扫瞄时被云盾拦截解决方法
chengli1824的博客
06-14 2197
原文链接 为了确保网站安全,有时需要对网站进行漏洞扫瞄,比如360网站漏洞扫瞄 但是默认情况下,扫瞄到一半就进行不下去了,原因是被云盾拦截了扫瞄程序的ip地址。 那么问题来了,有没有办法让云盾不拦截扫瞄ip地址呢?条案是可以的,具体操作看下图 进入控制台,点安全(云盾),DDoS防...
curl命令上传文件到开启CSRF的Django站
weixin_34220834的博客
06-21 413
为什么80%的码农都做不了架构师?>>> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值