>  기사  >  백엔드 개발  >  yii2에서 CSRF 확인을 부분적으로 켜고 끄는 코드

yii2에서 CSRF 확인을 부분적으로 켜고 끄는 코드

小云云
小云云원래의
2018-02-08 09:32:531290검색

이 글에서는 주로 yii2 CSRF 검증 부분 종료(열기) 예제 코드를 소개합니다. 편집자님이 꽤 좋다고 하셔서 지금 공유하고 참고용으로 드리고 싶습니다. 편집자를 따라 살펴보겠습니다. 모두에게 도움이 되기를 바랍니다.

(1) 전역적으로 사용하려면 구성 파일에서 직접 활성화CookieValidation을 true로 설정합니다


request => [ 
  'enableCookieValidation' => true, 
]

csrf를 사용할 필요가 없으면 'enableCookieValidation' => false로 설정하지만 안전하지 않으므로 안전하지 않습니다. yii2의 yiiwebrequest에 있는 활성화CookieValidation은 기본적으로 true로 설정되어 있습니다. 이는 csrf가 기본적으로 활성화되어 있음을 의미하므로 이 값을 구성하여 기본적으로 활성화할 수도 없습니다.

csrf를 활성화하면 글로벌이기 때문에 모든 게시물 요청에 인증이 필요하므로 데이터를 게시할 때 양식에서 csrf 데이터가 숨겨지도록 설정해야 합니다.

코드 복사 코드는 다음과 같습니다.


569a80ed14e95ce681d939e40ca26b4drequest- >csrfToken ?>">

데이터를 게시할 때 이 값을 게시해야 합니다. 이 값의 생성은 83e0b9f8cdad4f031f9e4efdaa38d325request->csrfToken ?>이며, 반환됩니다. 암호화된 csrfToken.

그래서 게시물 양식이든 Ajax 게시물이든 csrfToken 값을 설정해야 하며 제출 시 게시해야 합니다. 그렇지 않으면 오류가 발생하고 인증이 통과되지 않습니다.

(2) 일부 컨트롤러에서 CSRF 검증을 사용하고 싶지 않으면 어떻게 해야 합니까?

메소드가 매우 간단합니다. 직접 설정합니다.


public $enableCsrfValidation = false ,

이 컨트롤러는 yiiwebController에서 상속하므로, 활성화CsrfValidation 속성에서 상속하는 것과 동일합니다. 그런 다음 컨트롤러 인스턴스를 생성할 때 csrf 기능이 꺼집니다. 이 컨트롤러의 post 메서드에 액세스하면 검증이 수행되지 않습니다.

예를 들어 API를 개발할 때 WeChat 인터페이스가 인터페이스에 데이터를 게시해야 할 때 WeChat은 csrfToken을 모르기 때문에 게시 데이터에 액세스할 때 글로벌 csrf가 켜져 있으면 확실히 불가능합니다. 성공적으로 액세스했습니다. 따라서 이 API의 csrf를 꺼야 합니다.

3) 특정 작업을 구체적으로 종료하고 싶다면 어떻게 해야 하나요?

때때로 일부 기능에서는 특정 작업에서 csrf 확인을 꺼야 할 때가 있습니다. 우리는 csrf 검증이 beforeAction($Action)에서 구현된다는 것을 알고 있습니다. 다음으로 Controller


public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = ['dologin']; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

에서 beforeAction($action) 메소드를 다시 작성할 수 있습니다. 전달된 $action 매개변수는 이 액세스 인스턴스에 대한 컨트롤러입니다. 개체에는 많은 정보가 포함되어 있으므로 인쇄하여 살펴볼 수 있습니다.

먼저 $action->id를 실행하여 현재 액세스된 액션 이름을 가져옵니다. 그리고 $novalidactions는 작업 이름이 포함된 배열입니다. 이러한 작업은 모두 CSRF 인증을 해제하는 데 필요한 작업(CSRF 인증을 해제해야 하는 작업)입니다.

현재 액세스된 액션이 이 $novalidactions에 있는지 여부. 그렇다면 이 액션은 csrf 기능을 꺼야 한다는 의미이므로 컨트롤러 인스턴스를


$action->controller->enableCsrfValidation = false

로 설정한 다음 parent:를 실행하세요. beforeAction($action), 이때 수신 $action에서 컨트롤러 인스턴스의 활성화CsrfValidation이 false로 변경되었습니다.

마지막에 true를 반환해야 합니다. 그렇지 않으면 작업 작업이 실행되지 않습니다.

(4) 부분적으로 켜져 있으면 어떻게 되나요?

구성 파일에서 첫 번째 설정


request => [
'enableCookieValidation' => false,
]

csrf를 전역적으로 사용하지 마세요.

(a) 컨트롤러에서 활성화하려면


public $enableCsrfValidation = true

만 설정하면 전체 컨트롤러가 활성화됩니다

(b) 액션에서 활성화하려면


public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$ accessactions를 활성화해야 합니다. csrf 작업의 이름은 $action->controller->enableCsrfValidation = true로 설정되며 현재 작업은 csrf를 활성화할 수 있습니다.

관련 권장사항:

yii2 csrf

CSRf 활성화 후 400 오류 해결 방법

Yii2.0 csrf 공격 방법 방어

위 내용은 yii2에서 CSRF 확인을 부분적으로 켜고 끄는 코드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.