この記事では主にyii2のCSRF検証を部分的にクローズ(オープン)するサンプルコードを紹介します。編集者がとても良いと思ったので、参考として共有したいと思います。編集者をフォローして見てみましょう。皆さんのお役に立てれば幸いです。
(1) グローバルに使用する場合は、設定ファイルで直接enableCookieValidationをtrueに設定します
request => [ 'enableCookieValidation' => true, ]
csrfを使用する必要がない場合は、'enableCookieValidation' => falseに設定しますが、これは安全ではないため、 yii2 の yiiwebrequest のenableCookieValidation はデフォルトで true に設定されており、これは csrf がデフォルトで有効であることを意味するため、この値を設定してデフォルトで有効にすることもできません。
csrf を有効にすると、グローバルであるため、投稿リクエストに認証が必要になるため、データを投稿するときに、csrf データがフォームで非表示になるように設定する必要があります。
コードをコピー コードは次のとおりです:
データを投稿するときは、この値を投稿する必要があります。この値の生成は = Yii::$app->request->csrfToken ?> であり、返されます。暗号化された csrfToken。
そのため、投稿フォームであっても、ajax 投稿であっても、csrfToken の値を設定する必要があり、送信時に投稿する必要があります。そうでない場合は、エラーが発生し、認証が通過しません。
(2) 一部のコントローラーで CSRF 検証を使用したくない場合はどうすればよいですか?
方法は非常に簡単で、直接設定します
public $enableCsrfValidation = false ,
このControllerはyiiwebControllerから継承しているため、enableCsrfValidation属性から継承していることと同等となり、コントローラインスタンス作成時にcsrf機能がオフになりますこのコントローラーでは、このコントローラーの post メソッドにアクセスする場合、検証は実行されません。
たとえば、APIを開発するとき、WeChatインターフェイスがインターフェイスにデータを投稿する必要があるとき、WeChatはcsrfTokenを知らないため、投稿データにアクセスするときに、グローバルcsrfがオンになっていると、間違いなく投稿データを投稿できなくなります。無事にアクセスできました。したがって、この API の csrf をオフにする必要があります。
3) 特定のアクションを具体的に閉じたい場合はどうすればよいですか?
一部の関数では、特定のアクションで csrf 検証をオフにする必要がある場合があります。 csrf の検証が beforeAction($Action) で実装されていることはわかっています。次に、Controller の beforeAction($action) メソッドを書き換えます
public function beforeAction($action) { $currentaction = $action->id; $novalidactions = ['dologin']; if(in_array($currentaction,$novalidactions)) { $action->controller->enableCsrfValidation = false; } parent::beforeAction($action); return true; }
渡されるパラメーター $action は、このアクセス インスタンスのコントローラーです。オブジェクトには多くの情報が含まれているため、印刷して確認することができます。
まず $action->id を実行して、現在アクセスされているアクション名を取得します。 $novalidactions は、アクション名を含む配列です。これらのアクションは、CSRF 認証をオフにするために必要なすべての操作 (CSRF 認証をオフにする必要がある操作) です。
現在アクセスされているアクションがこの $novalidactions にあるかどうか。そうであれば、このアクションは csrf 機能をオフにする必要があることを意味するため、コントローラー インスタンスを
$action->controller->enableCsrfValidation = false
に設定してから、parent: : を実行します。 beforeAction($action)、この時点では、受信 $action 内のコントローラー インスタンスのenableCsrfValidation が false に変更されています。
最後に true を返す必要があります。そうでない場合、アクション操作は実行されません。
(4) 部分的にオンになっている場合はどうなりますか?
まず、設定ファイルで
request => [ 'enableCookieValidation' => false, ]
をグローバルで csrf を使用しないように設定します。
(a) コントローラーで有効にするには、
public $enableCsrfValidation = true
を設定するだけで、コントローラー全体が有効になります
(b) アクションで有効にするには
public function beforeAction($action) { $currentaction = $action->id; $accessactions = ['dologin']; i f(in_array($currentaction,$accessactions)) { $action->controller->enableCsrfValidation = true; } parent::beforeAction($action); return true; }
$ accessactions を有効にする必要があります。 csrf アクションの名前によって $action->controller->enableCsrfValidation = true が設定され、現在の操作で csrf を有効にできます。
関連する推奨事項:
以上がyii2 で CSRF 検証を部分的にオンまたはオフにするコードの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

PHPは、特にWeb開発の分野で、最新のプログラミングで強力で広く使用されているツールのままです。 1)PHPは使いやすく、データベースとシームレスに統合されており、多くの開発者にとって最初の選択肢です。 2)動的コンテンツ生成とオブジェクト指向プログラミングをサポートし、Webサイトを迅速に作成および保守するのに適しています。 3)PHPのパフォーマンスは、データベースクエリをキャッシュおよび最適化することで改善でき、その広範なコミュニティと豊富なエコシステムにより、今日のテクノロジースタックでは依然として重要になります。

PHPでは、弱い参照クラスを通じて弱い参照が実装され、ガベージコレクターがオブジェクトの回収を妨げません。弱い参照は、キャッシュシステムやイベントリスナーなどのシナリオに適しています。オブジェクトの生存を保証することはできず、ごみ収集が遅れる可能性があることに注意する必要があります。

\ _ \ _ Invokeメソッドを使用すると、オブジェクトを関数のように呼び出すことができます。 1。オブジェクトを呼び出すことができるように\ _ \ _呼び出しメソッドを定義します。 2。$ obj(...)構文を使用すると、PHPは\ _ \ _ Invokeメソッドを実行します。 3。ロギングや計算機、コードの柔軟性の向上、読みやすさなどのシナリオに適しています。

繊維はPhp8.1で導入され、同時処理機能が改善されました。 1)繊維は、コルーチンと同様の軽量の並行性モデルです。 2)開発者がタスクの実行フローを手動で制御できるようにし、I/O集約型タスクの処理に適しています。 3)繊維を使用すると、より効率的で応答性の高いコードを書き込むことができます。

PHPコミュニティは、開発者の成長を支援するための豊富なリソースとサポートを提供します。 1)リソースには、公式のドキュメント、チュートリアル、ブログ、LaravelやSymfonyなどのオープンソースプロジェクトが含まれます。 2)StackOverFlow、Reddit、およびSlackチャネルを通じてサポートを取得できます。 3)開発動向は、RFCに従うことで学ぶことができます。 4)コミュニティへの統合は、積極的な参加、コード共有への貢献、および学習共有への貢献を通じて達成できます。

PHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。

PHPは死にかけていませんが、常に適応して進化しています。 1)PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2)現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3)PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4)Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。

PHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1)クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2)パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3)パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。


ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

SublimeText3 Linux 新バージョン
SublimeText3 Linux 最新バージョン

DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、

ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境

SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。

SublimeText3 中国語版
中国語版、とても使いやすい
