yii2学习之CSRF验证

最新推荐文章于 2024-05-15 11:57:48 发布
最新推荐文章于 2024-05-15 11:57:48 发布
阅读量1.2w 收藏 7
点赞数 2
分类专栏: yii2学习 文章标签: csrf yii
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaog351/article/details/47446687
版权

什么是CSRF

CSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。

攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固恶意网站C就可以模拟用户请求。

如何防止CSRF攻击

目前大多数网站都是采取服务端进行CSRF防御,就是在客户端页面增加伪随机数,服务端返回浏览器信息时setcookie添加相应字段,表单提交数据时增加隐藏字段,该字段根据cookie中的字段,进行md5、base64等处理后以隐藏的hash值post给服务器,然后服务端对表单中的hash值进行验证以确保请求是用户发送的。

攻击者攻击的原理是利用了客户端的COOKIE,但是攻击者是得不到COOKIE具体的内容的,他只是利用。所以攻击者没法在模拟攻击URL中加入token,这样就无法通过验证。

Yii2的CSRF机制

  1. 在yii2工程的environments->index.php下添加工程的setCookieValidationKey需要的路径。

    'setCookieValidationKey' => [
        'backend/config/main-local.php',
        'frontend/config/main-local.php',
],

    在执行init时,会调用init.php中setCookieValidationKey函数根据配置的路径生成对应cookieValidationKey 32位随机串。

    $config = [
    'components' => [
        'request' => [
            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
            'cookieValidationKey' => 'nvgfNbUkW3NjixwbQudkQdAm_D6JB9c8',
        ],
    ],
];

    该值会在Response浏览器时将cookie中的value数据通过sha256加密(cookieValidationKey是加密key)后再与value拼接作为新的value通过setcookie传给浏览器缓冲。相应代码如下:

    foreach ($this->getCookies() as $cookie) {
    $value = $cookie->value;
    if ($cookie->expire != 1  && isset($validationKey)) {
       $value = Yii::$app->getSecurity()->hashData(serialize([$cookie->name, $value]), $validationKey);
    }
    setcookie($cookie->name,
最低0.47元/天 解锁文章
xiaog351
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
yii2局部关闭(开启)csrf验证的实例代码
12-20
上一节主要是简单地说了一下关于yii2的防御csrf的攻击机制,接下来说一下关于如何全局和局部的开启使用csrf。 (1)全局使用,我们直接在配置文件中设置enableCookieValidation为true request => [ '...
Yii2的Request看其CSRF防范策略
01-30
先画一幅流程图理理思路:今天在处理一个这样的需求,在app\...而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过帖子下面的帖子找到了问题的所在,是CSRF验证的原因;因为Web网页访问的时候f
Yii2 CSRF
weixin_30872789的博客
08-23 96
一、CSRF 即Cross-site request forgery跨站请求伪造,是指有人冒充你的身份进行一些恶意操作。 比如你登录了网站A,网站A在你的电脑设置了cookie用以标识身份和状态,然后你又访问了网站B,这时候网站B就可以冒充你的身份在A网站进行操作,因为网站B在请求网站A时,浏览器会自动发送之前设置的cookie信息,让网站A误认为仍然是你在进行操作。 对于csrf的防范,一般都会...
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
CSRF 攻击实验:Token 不存在绕过验证
最新发布
Flag少侠的博客
05-15 1808
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
yii2 关于csrf
weixin_30535167的博客
12-02 106
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
Yii2yii2学习CSRF验证
杨森源的博客
06-15 2484
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4591
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
php yii2框架 医疗平台
10-30
安全方面,Yii2框架内置了各种安全防护机制,如CSRF(跨站请求伪造)防护、XSS(跨站脚本攻击)过滤,以及输入验证,确保了医疗数据的安全性。在处理敏感的医疗信息时,这些特性尤为重要。 此外,Yii2的Gii工具提供...
Yii中的csrf
chenzhao635的专栏
04-20 197
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
yii2 ajax csrf meta,Yii2CSRF的疑问(完结)
weixin_30990711的博客
08-05 255
描述你的问题在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!怎么让csrf的值可以刷新后用于第二次请求。不要让我关闭csrf,csrf本来就是为了防御这种请求的。经过楼下兄弟的指点,现分析如下,在使用他自带的表单的时...
YII2框架学习 安全篇(三) csrf攻击和防范
混血王子的博客
06-20 2264
继续讲web安全,这次讲到的是csrf攻击(跨站请求伪造)。看到一篇博客这么介绍csrf:你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 发个例子说明一下,例子转载自http://www.cnblogs.com/hydd
yii2的防御csrf攻击机制
牛奔的博客
06-20 105
csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。yii2csrf的实现功能是在yii\web\request类实现功能的。request类中的属性,默认是true的。public $enableCsrfValidation = true;所以我们在配置文件中的request组件中可以配置该值request => ['enableCo...
yii2利用csrf防止表单重复提交
吕秀军的博客
08-11 1733
借助csrf实现防止表单重复提交 [ 2.0 版本 ]  yidashi  2017-03-13 20:32:49  1916次浏览  4条评论  8 3 0 首先,默认情况下,yii2csrf验证是通过cookie来保存token验证的,要实现防止表单重复提交,得先把这个方式改成session。 修改项目配置即可实现 'components' => [ 'requ
yii2框架-yii2局部关闭(开启)csrf验证 ------ 400错误
梦情与你的博客
03-07 490
最近正在用yii2写新项目。遇到了一些问题和大家分享一下。在我做登录操作是出现400错误。当时很纳闷,明明路径都是对的。怎么会出现这个问题呢!于是乎goole了一下。问题是解决了。但是感觉不详细。于是乎想整理一下。 前提是我没有用ActiveForm表单组件,废话少说,进入正题。 csrf 概念 我怕说的不好,但是我看到一篇文章讲的不错。链接如下: csrf概念 我个人的理解就是一个服务器toke...
yii _csrf 验证,解决
清晨的一缕阳光
07-31 2151
解决POST数据时因启用Csrf出现的400错误 [ 2.0 版本 ] 第一种解决办法是关闭Csrf public $enableCsrfValidation = false;   第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) 在main.php文件里面 'request' => [ 'csrfParam' =&g...
浅谈csrf攻击以及yii2对其的防范措施
weixin_34050005的博客
06-05 130
凡是我yii2学习社群的成员都知道,我不止一次给大家说构造表单100%使用yii2的ActiveForm来实现,这除了能和AR更好结合外就是自动生成csrf隐藏域,一个非常安全的举措。 今天北哥就给大家普及下csrf是啥?如果你已经知道了可以直接拉文章到底部点个赞。:smile: CSRF(Cross-site request forgery跨站请求伪造)是一种对网站的恶意利用,在 2007 ...
csrf攻击防御 php,Yii2.0防御csrf攻击方法
weixin_28748675的博客
03-10 183
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过查阅资料发现,这是CRSF验证的原因原理:Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的...
yii2 ajax csrf meta,关于yii2 Csrf验证问题
weixin_34514218的博客
08-05 219
在使用yii2-uploadify时候,上传提交时候发现返回HTTP400,意思提交的数据不被验证,研究发现是yiicsrf在发挥作用,在beforeAction中禁用csrf是一种方法,不过我想默认使用csrf功能,我的代码如下= $form->field($model,'thumb')->widget(Uploadify::className(),['url'=>\yii\...
Yii2初学者入门指南
3. **数据库交互**:学习使用Yii2的Active Record模式进行数据库操作,包括模型的创建、查询语言(Gii代码生成工具)、关系处理和数据验证。 4. **路由与控制器**:理解Yii2的路由系统,如何定义控制器和动作,以及...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值