CI框架中开启了csrf_protection后,表单以及ajax传输都要带上一個token的值

最新推荐文章于 2023-10-25 09:32:31 发布
最新推荐文章于 2023-10-25 09:32:31 发布
阅读量792 收藏 1
点赞数
分类专栏: php CI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyj_15067066062/article/details/107781687
版权
php 同时被 2 个专栏收录
44 篇文章 0 订阅
订阅专栏
CI
1 篇文章 0 订阅
订阅专栏

如果打开这个功能的话

post表单,提交给server 后报错: Error 500

An Error Was Encountered

The action you have requested is not allowed.

可以在application/config/config.php中找到下面这一行

$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_test_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] = 7200;

原本$config[‘csrf_protection’]把false改成true就可以打开

打开之后会自动帮你再cookie中存一个值

cookie的name可以再config.php中设定

之后传送表单就要连这个token一起传才行

一下是jquery的ajax功能示例

$(function(){
    $('#btn').click(function(){
        $.ajax({
            type:'POST'
            ,url:'/ajax' //ajax接收的server端
            ,data:$('#form').serialize()+'&csrf_test_name='+ getCookie('csrf_test_name')
            ,success:function(data){
            alert(data.msg);
            }
            ,dataType:'json'
        });
    });
});
 
function getCookie(name){
    var arr = document.cookie.match(new RegExp("(^| )"+name+"=([^;]*)(;|$)"));
    if(arr != null) return unescape(arr[2]); return null;
}

csrf_test_name就是config.php中可以设定的参数

表单中隐藏域实例:

<input type="hidden" name="security->csrf_token_name?>" value="security->csrf_hash?>"

 

ZYJ~
关注
专栏目录
Django(七)Ajax请求csrf验证
youand_me的博客
12-29 4321
前言 在web应用都比较熟悉ajax请求,当然在Django也可以通过ajax请求据。有时候我们需要在不刷新的情况载入一些内容,如何用 Django 来实现 不刷新网页的情况下加载一些内容,ajax请求就能发挥作用了。 Ajax请求 get方法 表单 当我们使用form表单时,在第一层demo下的templates新建一个add.html文件,要使...
Django——CSRF权限认证处理
胖大xian
02-08 620
CSRF权限认证 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 一、简单说明csrf如何操作 跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经
CI框架安全类Security.php源码分析
01-21
CI安全类提供了全局防御CSRF攻击和XSS攻击策略,只需要在配置文件开启即可: 复制代码 代码如下: $config[‘csrf_protection’] = TRUE; $config[‘global_xss_filtering’] = TRUE; 并提供了实用方法: 复制代码 代码如下: $this->security->xss_clean($data);//第二个参为TRUE,验证图片安全 $this->security->sanitize_filename()//过滤文件名 CI也提供了安全函: xss_clean()//xss过滤 sanitize_filename()//
CICSRF防范原理及注意事项
Notzuonotdied的博客
03-10 804
CICSRF防范原理及注意事项
ci框架如何手动进行csrf攻击防范
qzfzz的博客
08-08 3032
ci框架现只支持自动csrf检查或是关闭csrf攻击防范 如何进行手动csrf攻击防范呢,本文给出了解决方案。
CI框架ajax方式post据时加上csrf验证
SMILENCE
06-13 3495
原理 1.生成一个token串放在cookies里面, 2.把上面那个token放在表单里面, 3.表单回传之后,对比cookies里面的这个token和post里面的token是否相等,不相等就返回错误, 4.为什么可以防御csrf呢,因为cookies是不会被第三方获取的。 下面这段就是一个验证通过示例: $this ->security->csrf_verify();
CSRF protection -spring securty
zhuxinkai的博客
11-25 497
Cross Site Request Forgery (CSRF) Prev Part III. Web Application Security Next Cross Site Request Forgery (CSRF) This section discusses Spring Security’s Cross Site Request Forgery (CSRF) support. ...
django-csrf使用和禁用方式
09-17
在 Django 框架CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种重要的安全机制,用于防止恶意第三方在用户浏览器上伪造请求。Django 的 CSRF 保护通常涉及在表单添加一个隐藏字段 `...
csrf及auth模块
Yietong的博客
09-13 498
1. 首先大前提是没有生成 auth_user 表(也就是没进行据库迁移操作)(有的话需要删干净迁移记录和表)2. 书写一个类, 并继承 AbstractUser 类3. 在类可以书写你需要扩展的字段, 也可以重写原来的字段username=models.CharField(max_length=12) # 重写字段phone=models.CharField(max_length=32) # 书写新字段。
5 - django-csrf-session&cookie
大欣的IT之路
03-28 558
文章目录1 CSRF跨站请求伪造1.1 CSRF攻击介绍及防御1.2 防御CSRF攻击1.2.1 验证 HTTP Referer 字段1.2.2 在请求地址添加 token 并验证1.2.3 在 HTTP 头自定义属性并验证1.2.4 django csrf token1.3 form表单提交1.4 ajax提交1.5 CSRF装饰器2 Cookie&Session2.1 cookie...
防止CSRF攻击与protect_from_forgery
qwbtc的博客
05-12 2821
CSRF(Cross-Site Request Forgery)是一种常见的攻击手段,Rails下面的代码帮助我们的应用来阻止CSRF攻击。 class ApplicationController ActionController::Base # Prevent CSRF attacks by raising an exception. # For APIs, you may wan
Spring Security —漏洞防护—跨站请求伪造(CSRF
最新发布
深圳市多克创新科技有限公司
10-25 865
Spring Security —漏洞防护—跨站请求伪造(CSRF
Spring安全方案—针对常见漏洞的保护(CSRF)(官方原版)
深圳市多克创新科技有限公司
04-23 1040
Spring Security针对常见漏洞的保护—官方原版
ci ajax js,javascript - Codeigniter ajax CSRF problem - Stack Overflow
weixin_39780784的博客
08-05 140
The only problem with a few of the above answers is that a csrf token is only valid for one request, so if you make a post request via ajax and do not refresh the page you will not have the current cs...
ci分页查询ajax,CI支持AJAX分页
weixin_36480303的博客
08-05 159
隔了几年又接触了CI框架,需要做个AJAX分页,以前也就是懂个皮毛,现在是现学活用了。首先来个正常分页的demopublic function querylog(){$data = [];if(!empty($_GET["stime"])){$current_url= 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];}else{$cu...
CI框架(6)-Ajax运用
wzjisking的专栏
07-05 761
1,Ajax请求2,接收参1,Ajax请求在前端页面的js里面添加代码 (1),创建对象if (window.XMLHttpRequest) { // IE7+, Firefox, Chrome, Opera, Safari 浏览器执行的代码 xmlhttp=new XMLHttpRequest(); } else {
jenkins 关闭关闭CSRF Protection(跨站请求伪造保护)
python程序员
07-11 1815
Jenkins版本自2.204.6以来的重大变更有:删除禁用 CSRF 保护的功能。从较旧版本的 Jenkins 升级的实例将启用 CSRF 保护和设置默认的发行者,如果之前被禁用。老版本Jenkins的CSRF保护功能只需要在 系统管理 > 全局安全配置 便可进行打开或者关闭。让人头疼的是较高版本的Jenkins竟然在管理页面关闭不了CSRF。启动后在jenkins设置-全局安全设置里面看是否关闭,如下图所示就是已经关闭了。我的jenkins版本是:2.332.4。我的启动命令,大伙可做参考。
CICSRF的改造
bixiong5116的博客
07-23 195
CICSRF是有缺陷的。只要同时开俩个不同的涉及csrf的页面,http://host/csrf1 http://host/csrf2就会发现页面直接互相影响(问题1)。即使同一页面也涉及这样的问题。http://host/csrf1http://host/csrf1也会发现这样的问题(问题2)。先解决简单问题2只需要将配置 csrf_regenerate 设置为 fal...
CI_Security类的注释
辛星,前进的路上.
07-14 816
defined('BASEPATH') OR exit('No direct script access allowed'); //安全类 class CI_Security { /** * 需要清理的字符 * * @var array */ public $filename_bad_chars = array( '../', '', '', "'", '
CI框架Security.php源码详解:CSRF和XSS攻击防御策略
CI框架安全类Security.php是CI框架一个非常重要的组件,它提供了全局防御CSRF攻击和XSS攻击策略,保护用户据的安全。下面我们将详细分析Security.php文件的源码,了解CI框架的安全机制。 一、Security.php文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值