yii2에서 CSRF 확인을 부분적으로 켜고 끄는 코드-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

yii2에서 CSRF 확인을 부분적으로 켜고 끄는 코드

小云云

Feb 08, 2018 am 09:32 AM

csrfyii2폐쇄

이 글에서는 주로 yii2 CSRF 검증 부분 종료(열기) 예제 코드를 소개합니다. 편집자님이 꽤 좋다고 하셔서 지금 공유하고 참고용으로 드리고 싶습니다. 편집자를 따라 살펴보겠습니다. 모두에게 도움이 되기를 바랍니다.

(1) 전역적으로 사용하려면 구성 파일에서 직접 활성화CookieValidation을 true로 설정합니다

request => [ 
  &#39;enableCookieValidation&#39; => true, 
]

csrf를 사용할 필요가 없으면 'enableCookieValidation' => false로 설정하지만 안전하지 않으므로 안전하지 않습니다. yii2의 yiiwebrequest에 있는 활성화CookieValidation은 기본적으로 true로 설정되어 있습니다. 이는 csrf가 기본적으로 활성화되어 있음을 의미하므로 이 값을 구성하여 기본적으로 활성화할 수도 없습니다.

csrf를 활성화하면 글로벌이기 때문에 모든 게시물 요청에 인증이 필요하므로 데이터를 게시할 때 양식에서 csrf 데이터가 숨겨지도록 설정해야 합니다.

코드 복사 코드는 다음과 같습니다.

데이터를 게시할 때 이 값을 게시해야 합니다. 이 값의 생성은 = Yii::$app->request->csrfToken ?>이며, 반환됩니다. 암호화된 csrfToken.

그래서 게시물 양식이든 Ajax 게시물이든 csrfToken 값을 설정해야 하며 제출 시 게시해야 합니다. 그렇지 않으면 오류가 발생하고 인증이 통과되지 않습니다.

(2) 일부 컨트롤러에서 CSRF 검증을 사용하고 싶지 않으면 어떻게 해야 합니까?

메소드가 매우 간단합니다. 직접 설정합니다.

public $enableCsrfValidation = false ,

이 컨트롤러는 yiiwebController에서 상속하므로, 활성화CsrfValidation 속성에서 상속하는 것과 동일합니다. 그런 다음 컨트롤러 인스턴스를 생성할 때 csrf 기능이 꺼집니다. 이 컨트롤러의 post 메서드에 액세스하면 검증이 수행되지 않습니다.

예를 들어 API를 개발할 때 WeChat 인터페이스가 인터페이스에 데이터를 게시해야 할 때 WeChat은 csrfToken을 모르기 때문에 게시 데이터에 액세스할 때 글로벌 csrf가 켜져 있으면 확실히 불가능합니다. 성공적으로 액세스했습니다. 따라서 이 API의 csrf를 꺼야 합니다.

3) 특정 작업을 구체적으로 종료하고 싶다면 어떻게 해야 하나요?

때때로 일부 기능에서는 특정 작업에서 csrf 확인을 꺼야 할 때가 있습니다. 우리는 csrf 검증이 beforeAction($Action)에서 구현된다는 것을 알고 있습니다. 다음으로 Controller

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = [&#39;dologin&#39;]; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

에서 beforeAction($action) 메소드를 다시 작성할 수 있습니다. 전달된 $action 매개변수는 이 액세스 인스턴스에 대한 컨트롤러입니다. 개체에는 많은 정보가 포함되어 있으므로 인쇄하여 살펴볼 수 있습니다.

먼저 $action->id를 실행하여 현재 액세스된 액션 이름을 가져옵니다. 그리고 $novalidactions는 작업 이름이 포함된 배열입니다. 이러한 작업은 모두 CSRF 인증을 해제하는 데 필요한 작업(CSRF 인증을 해제해야 하는 작업)입니다.

현재 액세스된 액션이 이 $novalidactions에 있는지 여부. 그렇다면 이 액션은 csrf 기능을 꺼야 한다는 의미이므로 컨트롤러 인스턴스를

$action->controller->enableCsrfValidation = false

로 설정한 다음 parent:를 실행하세요. beforeAction($action), 이때 수신 $action에서 컨트롤러 인스턴스의 활성화CsrfValidation이 false로 변경되었습니다.

마지막에 true를 반환해야 합니다. 그렇지 않으면 작업 작업이 실행되지 않습니다.

(4) 부분적으로 켜져 있으면 어떻게 되나요?

구성 파일에서 첫 번째 설정

request => [
&#39;enableCookieValidation&#39; => false,
]

csrf를 전역적으로 사용하지 마세요.

(a) 컨트롤러에서 활성화하려면

public $enableCsrfValidation = true

만 설정하면 전체 컨트롤러가 활성화됩니다

(b) 액션에서 활성화하려면

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = [&#39;dologin&#39;];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$ accessactions를 활성화해야 합니다. csrf 작업의 이름은 $action->controller->enableCsrfValidation = true로 설정되며 현재 작업은 csrf를 활성화할 수 있습니다.

관련 기사

PHP와 Python : 다른 패러다임이 설명되었습니다Apr 18, 2025 am 12:26 AM

PHP는 주로 절차 적 프로그래밍이지만 객체 지향 프로그래밍 (OOP)도 지원합니다. Python은 OOP, 기능 및 절차 프로그래밍을 포함한 다양한 패러다임을 지원합니다. PHP는 웹 개발에 적합하며 Python은 데이터 분석 및 기계 학습과 같은 다양한 응용 프로그램에 적합합니다.

PHP와 Python : 그들의 역사에 깊은 다이빙Apr 18, 2025 am 12:25 AM

PHP는 1994 년에 시작되었으며 Rasmuslerdorf에 의해 개발되었습니다. 원래 웹 사이트 방문자를 추적하는 데 사용되었으며 점차 서버 측 스크립팅 언어로 진화했으며 웹 개발에 널리 사용되었습니다. Python은 1980 년대 후반 Guidovan Rossum에 의해 개발되었으며 1991 년에 처음 출시되었습니다. 코드 가독성과 단순성을 강조하며 과학 컴퓨팅, 데이터 분석 및 기타 분야에 적합합니다.

PHP와 Python 중에서 선택 : 가이드Apr 18, 2025 am 12:24 AM

PHP는 웹 개발 및 빠른 프로토 타이핑에 적합하며 Python은 데이터 과학 및 기계 학습에 적합합니다. 1.PHP는 간단한 구문과 함께 동적 웹 개발에 사용되며 빠른 개발에 적합합니다. 2. Python은 간결한 구문을 가지고 있으며 여러 분야에 적합하며 강력한 라이브러리 생태계가 있습니다.

PHP 및 프레임 워크 : 언어 현대화Apr 18, 2025 am 12:14 AM

PHP는 현대화 프로세스에서 많은 웹 사이트 및 응용 프로그램을 지원하고 프레임 워크를 통해 개발 요구에 적응하기 때문에 여전히 중요합니다. 1.PHP7은 성능을 향상시키고 새로운 기능을 소개합니다. 2. Laravel, Symfony 및 Codeigniter와 같은 현대 프레임 워크는 개발을 단순화하고 코드 품질을 향상시킵니다. 3. 성능 최적화 및 모범 사례는 응용 프로그램 효율성을 더욱 향상시킵니다.

PHP의 영향 : 웹 개발 및 그 이상Apr 18, 2025 am 12:10 AM

phphassignificallyimpactedwebdevelopmentandextendsbeyondit

스칼라 유형, 반환 유형, 노조 유형 및 무효 유형을 포함한 PHP 유형의 힌트 작업은 어떻게 작동합니까?Apr 17, 2025 am 12:25 AM

PHP 유형은 코드 품질과 가독성을 향상시키기위한 프롬프트입니다. 1) 스칼라 유형 팁 : PHP7.0이므로 int, float 등과 같은 기능 매개 변수에 기본 데이터 유형을 지정할 수 있습니다. 2) 반환 유형 프롬프트 : 기능 반환 값 유형의 일관성을 확인하십시오. 3) Union 유형 프롬프트 : PHP8.0이므로 기능 매개 변수 또는 반환 값에 여러 유형을 지정할 수 있습니다. 4) Nullable 유형 프롬프트 : NULL 값을 포함하고 널 값을 반환 할 수있는 기능을 포함 할 수 있습니다.

PHP는 객체 클로닝 (클론 키워드) 및 __clone 마법 방법을 어떻게 처리합니까?Apr 17, 2025 am 12:24 AM

PHP에서는 클론 키워드를 사용하여 객체 사본을 만들고 \ _ \ _ Clone Magic 메소드를 통해 클로닝 동작을 사용자 정의하십시오. 1. 복제 키워드를 사용하여 얕은 사본을 만들어 객체의 속성을 복제하지만 객체의 속성은 아닙니다. 2. \ _ \ _ 클론 방법은 얕은 복사 문제를 피하기 위해 중첩 된 물체를 깊이 복사 할 수 있습니다. 3. 복제의 순환 참조 및 성능 문제를 피하고 클로닝 작업을 최적화하여 효율성을 향상시키기 위해주의를 기울이십시오.

PHP vs. Python : 사용 사례 및 응용 프로그램Apr 17, 2025 am 12:23 AM

PHP는 웹 개발 및 컨텐츠 관리 시스템에 적합하며 Python은 데이터 과학, 기계 학습 및 자동화 스크립트에 적합합니다. 1.PHP는 빠르고 확장 가능한 웹 사이트 및 응용 프로그램을 구축하는 데 잘 작동하며 WordPress와 같은 CMS에서 일반적으로 사용됩니다. 2. Python은 Numpy 및 Tensorflow와 같은 풍부한 라이브러리를 통해 데이터 과학 및 기계 학습 분야에서 뛰어난 공연을했습니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

드림위버 CS6

시각적 웹 개발 도구

Atom Editor Mac 버전 다운로드

가장 인기 있는 오픈 소스 편집기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

DVWA

DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는