yii防护csrf攻击

最新推荐文章于 2021-04-20 19:01:23 发布
最新推荐文章于 2021-04-20 19:01:23 发布
阅读量910 收藏
点赞数
分类专栏: 安全 yii2 文章标签: yii2 csrf攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangzhangdan/article/details/81163903
版权
yii2 同时被 2 个专栏收录
18 篇文章 0 订阅
订阅专栏
安全
9 篇文章 0 订阅
订阅专栏

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

通常csrf是靠一个链接来盗取你的重要信息:

攻击者把这条链接以文字形式放到你的短信中,邮件里,骗你去点击,这样他们就得逞了(此传递方式为get)

那这csrf这么普遍,我们该怎么防护呢

这个方法行不通,还有下一层防护

 这是一般的防护方式,那么在yii框架中,是怎么防止csrf攻击的呢

1) 表单页有一个隐藏的csrf字符串,

2)同时返回给浏览器中一个cookie值,存放csrf值,而cookie中的值是被加密的

3)表单提交到服务器,服务器解密cookie中csrf,然后和隐藏域中的进行对比,若一致则提交成功

Z单单
关注
专栏目录
yii2学习之CSRF验证
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
yii2框架开发之安全xss、csrf、sql注入、文件上传漏洞攻击
西瓜的博客
02-21 8092
常见的漏洞攻击:1、xss:是跨站脚本攻击    分3类:1、存储型2、反射型3、蠕虫型2、csrf:是跨站请求伪造攻击    分2类:1、get型2、post型3、sql注入4、文件上传xss攻击:xss攻击可以:盗取用户账号、也可以盗取后进行非法转账、还可以篡改系统信息、网站挂马等存储型xss下面我们来看下盗号代码(存储型xss):1、通过在浏览器f12 console中输入:2、docume...
yii2CSRF验证
czh0423的专栏
07-17 2829
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
Yii中的csrf
chenzhao635的专栏
04-20 206
什么是CSRF攻击 百度百科 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信...
yii2 csrf
热门推荐
haoke
02-03 5万+
今天看了一下yii2.0 和之前1.x的版本比较改变了很多地方,具有防止 SQL 注入, XSS 攻击, CSRF 攻击, cookie 窃取等,今天特意研究了一下YII2.0防csrf攻击。首先看一下csrf攻击的原理,如下图:http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html    http://www.o-xx.com
yii csrf 配置
weixin_30832143的博客
07-29 138
csrf默认不启用 全局配置 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' => true, ), ), ...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
总体而言,Yii框架通过提供内置的API和一系列的防护措施,帮助开发者有效防范SQL注入、XSS攻击CSRF攻击。开发者在使用Yii框架进行Web应用开发时,应充分理解并利用这些内置功能,配合良好的编程习惯,确保应用的...
Yii防注入攻击笔记
09-09
防御CSRF攻击** 跨站请求伪造(CSRF)是一种常见的安全威胁,它迫使用户的浏览器向一个他们信任的网站发送恶意请求。在Yii中,可以通过启用CSRF验证和Cookie验证来抵御这种攻击。在配置文件中设置`...
php yii2框架 医疗平台
10-30
安全方面,Yii2框架内置了各种安全防护机制,如CSRF(跨站请求伪造)防护、XSS(跨站脚本攻击)过滤,以及输入验证,确保了医疗数据的安全性。在处理敏感的医疗信息时,这些特性尤为重要。 此外,Yii2的Gii工具提供...
YII Framework框架教程之安全方案详解
10-22
总结来说,Yii Framework提供了强大的安全工具和策略,包括CHtmlPurifier组件来防止XSS攻击,内置的CSRF防护机制来抵挡CSRF攻击,以及关于Cookie安全的一些建议,帮助开发者创建更加安全的Web应用。通过遵循这些最佳...
PHP-Yii框架下提交表单form防止csrf攻击
weixin_30448685的博客
03-31 100
解决办法: 在form标签下,写入一个隐藏的input控件 <form id="form_submit" action="http://v2admin.donever.me/forum/thread/robot-publish" method="post"> <!--防止csrf攻击--> <input name="_csrf" t...
yii2框架-yii2的防御csrf攻击机制(十六)
bingcool
06-30 4596
前段时间工作比较忙,好几天没有时间写一下关于yii2框架的知识总结了。因为上一次需要实现一些功能防御csrf的这种攻击,所以整理一下这方面的知识点。 对于什么是csrf,中文名称:跨站请求伪造,可以在百度上搜索资料,详细了解这一方面的概念。对于我们是非常有帮助的。 yii2csrf的实现功能是在yii\web\request类实现功能的。 request类中的属性,默认是true的。 p
yii2 关于csrf
weixin_30535167的博客
12-02 111
文章来自http://blog.crarun.com/article-7.html 在Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( //EnableYiiValidate...
Yii中的安全防护
Fhang
12-07 495
前言:最近有一份招聘,引起了我对网络安全的极大兴趣。非常感兴趣的决定研究下yii中的安全特性。在应用yii开发的时候知道怎么用安全特性,但一些原理没有去理会过。参考:http://blog.csdn.net/baidu_zhongce/article/details/50394178防SQL注入SQL 注入虽然是最低级的Web安全内容了。但还是说一下吧,yii中我们采用Model::find->wh
Yiicsrf验证
人在旅途
06-27 8285
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
yiicsrf使用
10-26 166
csrf的思想: ------------------------------------------------------------- yii使用: 1. 在表单中加一个隐藏域 <div id="tokenId" type="hidden"&g...
Yii2yii2学习之CSRF验证
杨森源的博客
06-15 2505
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
YII 2.0局部关闭csrf攻击
angle_hearts的博客
12-29 1076
public $enableCsrfValidation = false;
YII_CSRF_TOKEN
最新发布
04-05
通过在每个表单中添加一个隐藏字段YII_CSRF_TOKEN,并在后台验证该令牌的有效性,可以有效地防止CSRF攻击。 在Yii框架中,有两种方式可以获取YII_CSRF_TOKEN令牌: 1. 自动获取YII_CSRF_TOKEN令牌[^1]: 在主配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值