Cross-site request forgery(영어: Cross-site request forgery), 원클릭 공격 또는 세션 라이딩이라고도 하며 일반적으로 CSRF 또는 XSRF로 축약됩니다. 은 현재 로그인되어 있는 웹 애플리케이션에서 사용자가 의도하지 않은 작업을 수행하도록 강요하는 공격 방법입니다. 간단히 말해, 교차 사이트 요청 공격은 공격자가 기술적 수단을 사용하여 사용자의 브라우저를 속여 웹 사이트에 액세스하는 것입니다. 그는 인증된 웹사이트를 사용하고 일부 작업(예: 이메일 보내기, 메시지 보내기, 심지어 돈 이체 및 상품 구매와 같은 자산 작업)을 수행했다는 사실을 알 수 있습니다. (추천 학습:##yii 프레임워크)#🎜🎜 ## 🎜🎜 ## 🎜🎜#브라우저가 인증되었으므로 접속하는 웹사이트는 실제 사용자 작업으로 간주됩니다.
이것은 웹의 사용자 인증 취약점을 악용합니다. 단순 인증은 요청이 특정 사용자의 브라우저에서 오는지 여부만 보장할 수 있지만 요청 자체가 사용자에 의해 자발적으로 이루어졌다는 것을 보장할 수는 없습니다. 사용자.
yii2의 csrf, 검증 메커니즘에 대한 간략한 소개는 다음과 같습니다.
csrf 검증에 사용되는 토큰 값을 가져옵니다. csrf에 사용되는 토큰이 존재하는지 확인하고, 존재하지 않으면 generateCsrfToken()을 사용하여 생성합니다.
webController의 beforeAction() 메서드에 csrf를 확인하는 데 사용되는 Yii::$app->getRequest()->validateCsrfToken() 판단이 있는지 확인합니다.
일반적으로 yii2의 csrf에 대한 이해는 Yii::$app->request->getCsrfToken(); 자, getCsrfToken()부터 시작하겠습니다. 이 메소드는 yiiwebRequest.php에 있습니다: /**
* Returns the token used to perform CSRF validation.
* 返回用于执行CSRF验证的token
* This token is a masked version of [[rawCsrfToken]] to prevent [BREACH attacks](http://breachattack.com/).
* This token may be passed along via a hidden field of an HTML form or an HTTP header value
* to support CSRF validation.
* @param boolean $regenerate whether to regenerate CSRF token. When this parameter is true, each time
* this method is called, a new CSRF token will be generated and persisted (in session or cookie).
* @return string the token used to perform CSRF validation.
*/
public function getCsrfToken($regenerate = false)
{
if ($this->_csrfToken === null || $regenerate) {
if ($regenerate || ($token = $this->loadCsrfToken()) === null) { //loadCsrfToken()就是在cookie或者session中获取token值
$token = $this->generateCsrfToken(); //如果token为空则调用generateCsrfToken()去生成
}
// the mask doesn't need to be very random
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
$mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
// The + sign may be decoded as blank space later, which will fail the validation
$this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
}
return $this->_csrfToken;
}
/**
* Loads the CSRF token from cookie or session.
* @return string the CSRF token loaded from cookie or session. Null is returned if the cookie or session
* does not have CSRF token.
*/
protected function loadCsrfToken()
{
if ($this->enableCsrfCookie) {
return $this->getCookies()->getValue($this->csrfParam); //cookie中获取csrf的token
} else {
return Yii::$app->getSession()->get($this->csrfParam); //session中获取csrf的token
}
}
/**
* Creates a cookie with a randomly generated CSRF token.
* Initial values specified in [[csrfCookie]] will be applied to the generated cookie.
* @param string $token the CSRF token
* @return Cookie the generated cookie
* @see enableCsrfValidation
*/
protected function createCsrfCookie($token)
{
$options = $this->csrfCookie;
$options['name'] = $this->csrfParam;
$options['value'] = $token;
return new Cookie($options);
}
/**
* Generates an unmasked random token used to perform CSRF validation.
* @return string the random token for CSRF validation.
*/
protected function generateCsrfToken()
{
$token = Yii::$app->getSecurity()->generateRandomString(); //生成随机的安全字符串
if ($this->enableCsrfCookie) {
$cookie = $this->createCsrfCookie($token); //createCsrfCookie()用于生成csrf的key=>value形式的token
Yii::$app->getResponse()->getCookies()->add($cookie); //将生成key=>value保存到cookies
} else {
Yii::$app->getSession()->set($this->csrfParam, $token); //将csrf的token存在session中
}
return $token;
}
/**
* 每次调用控制器中的方法的时候都会调用下面的Yii::$app->getRequest()->validateCsrfToken()验证
* @inheritdoc
*/
public function beforeAction($action)
{
if (parent::beforeAction($action)) {
if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
}
return true;
} else {
return false;
}
}
/**
* 校验方法
* Performs the CSRF validation.
*
* This method will validate the user-provided CSRF token by comparing it with the one stored in cookie or session.
* This method is mainly called in [[Controller::beforeAction()]].
*
* Note that the method will NOT perform CSRF validation if [[enableCsrfValidation]] is false or the HTTP method
* is among GET, HEAD or OPTIONS.
*
* @param string $token the user-provided CSRF token to be validated. If null, the token will be retrieved from
* the [[csrfParam]] POST field or HTTP header.
* This parameter is available since version 2.0.4.
* @return boolean whether CSRF token is valid. If [[enableCsrfValidation]] is false, this method will return true.
*/
public function validateCsrfToken($token = null)
{
$method = $this->getMethod();
// only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1
if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
return true;
}
$trueToken = $this->loadCsrfToken();
if ($token !== null) {
return $this->validateCsrfTokenInternal($token, $trueToken);
} else {
return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
|| $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
//getCsrfTokenFromHeader()这个我也不太理解,还请指点一下
}
}
/**
* @return string the CSRF token sent via [[CSRF_HEADER]] by browser. Null is returned if no such header is sent.
*/
public function getCsrfTokenFromHeader()
{
$key = 'HTTP_' . str_replace('-', '_', strtoupper(static::CSRF_HEADER));
return isset($_SERVER[$key]) ? $_SERVER[$key] : null;
}
/**
* Validates CSRF token
*
* @param string $token
* @param string $trueToken
* @return boolean
*/
private function validateCsrfTokenInternal($token, $trueToken)
{
$token = base64_decode(str_replace('.', '+', $token)); //解码从客户端获取的csrf的token
$n = StringHelper::byteLength($token);
if ($n <= static::CSRF_MASK_LENGTH) {
return false;
}
$mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
$token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
$token = $this->xorTokens($mask, $token);
return $token === $trueToken; //验证从客户端获取的csrf的token和真实的token是否相等
}
위 내용은 yii csrf 란 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
YII 2.0 딥 다이브 : 성능 튜닝 및 최적화Apr 10, 2025 am 09:43 AMYII2.0 응용 프로그램 성능을 향상시키기위한 전략은 다음과 같습니다. 1. 데이터베이스 쿼리 최적화, QueryBuilder 및 ActiveRecord를 사용하여 특정 필드 및 제한 결과 세트를 선택합니다. 2. 캐싱 전략, 데이터의 합리적인 사용, 쿼리 및 페이지 캐시; 3. 코드 레벨 최적화, 객체 생성 감소 및 효율적인 알고리즘 사용. 이러한 방법을 통해 YII2.0 응용 프로그램의 성능을 크게 향상시킬 수 있습니다.
YII RESTFUL API 개발 : 모범 사례 및 인증Apr 09, 2025 am 12:13 AMYII 프레임 워크에서 편안한 API 개발은 다음 단계를 통해 달성 할 수 있습니다. 컨트롤러 정의 : yii \ rest \ activecontroller를 사용하여 UserController와 같은 리소스 컨트롤러를 정의하십시오. 인증 구성 : HTTPBearer 인증 메커니즘을 추가하여 API의 보안을 보장합니다. 페이징 및 정렬 구현 : yii \ data \ activedataprovider를 사용하여 복잡한 비즈니스 로직을 처리하십시오. 오류 처리 : 인증이 실패한 경우 처리와 같은 오류 응답을 사용자 정의하기 위해 YII \ Web \ ErrorHandler를 구성합니다. 성능 최적화 : YII의 캐싱 메커니즘을 사용하여 자주 액세스하는 리소스를 최적화하고 API 성능을 향상시킵니다.
고급 YII 프레임 워크 : 마스터 링 구성 요소 및 확장Apr 08, 2025 am 12:17 AMYII 프레임 워크에서 구성 요소는 재사용 가능한 객체이며 확장자는 작곡가를 통해 추가 된 플러그인입니다. 1. 구성 요소는 구성 파일 또는 코드를 통해 인스턴스화되며 종속성 분사 컨테이너를 사용하여 유연성 및 테스트 가능성을 향상시킵니다. 2. 작곡가를 통해 관리를 확장하여 응용 프로그램 기능을 신속하게 향상시킵니다. 이러한 도구를 사용하면 개발 효율성 및 응용 프로그램 성능을 향상시킬 수 있습니다.
YII 테마 및 템플릿 : 아름답고 반응이 좋은 인터페이스 생성Apr 07, 2025 am 12:03 AMYII 프레임 워크의 테마 및 유혹은 테마 디렉토리 및 뷰 및 뷰 및 레이아웃 파일을 통해 웹 사이트 스타일 및 컨텐츠 생성을 달성합니다. 1. 테마 디렉토리를 설정하여 웹 사이트 스타일 및 레이아웃을 관리합니다. Tempting은 시청 및 레이아웃 파일을 통해 HTML 컨텐츠를 생성합니다.
YII 인터뷰 질문 : ACE PHP 프레임 워크 인터뷰Apr 06, 2025 am 12:20 AMYII 프레임 워크와의 인터뷰를 준비 할 때는 다음과 같은 주요 지식 포인트를 알아야합니다. 1. MVC 아키텍처 : 모델, 뷰 및 컨트롤러의 공동 작업을 이해합니다. 2. ACTIVERECORD : ORM 도구 사용을 마스터하고 데이터베이스 작업을 단순화하십시오. 3. 위젯 및 도우미 : 내장 구성 요소 및 도우미 기능에 익숙하고 사용자 인터페이스를 신속하게 구축합니다. 이러한 핵심 개념과 모범 사례를 마스터하면 인터뷰에서 눈에 띄는 데 도움이됩니다.
YII 데이터베이스 관리 : 고급 활성 레코드 및 마이그레이션Apr 05, 2025 am 12:17 AMYII 프레임 워크의 Advanced ActiveRecord 및 마이그레이션 도구는 데이터베이스를 효율적으로 관리하는 데 핵심입니다. 1) Advanced ActiveRecord는 관련 쿼리 및 배치 업데이트와 같은 복잡한 쿼리 및 데이터 작업을 지원합니다. 2) 마이그레이션 도구는 데이터베이스 구조 변경을 관리하고 스키마에 대한 안전한 업데이트를 보장하는 데 사용됩니다.
YII 테스트 : 단위, 기능 및 통합 테스트 전략Apr 04, 2025 am 12:16 AMYII 프레임 워크는 단위 테스트, 기능 테스트 및 통합 테스트를 지원합니다. 1) 단일 기능 또는 방법의 정확성을 확인하기 위해 단위 테스트. 2) 기능 테스트는 시스템의 전반적인 기능에 중점을두고 사용자의 운영이 기대치를 충족하는지 여부를 확인합니다. 3) 통합 테스트는 다른 모듈 또는 구성 요소 간의 상호 작용이 정확한지 여부를 확인하고 전체 시스템이 정상적으로 실행되고 있는지 확인합니다.
YII 보안 경화 : 취약점으로부터 응용 프로그램을 보호합니다Apr 03, 2025 am 12:18 AMYII 프레임 워크에서 응용 프로그램은 다음 단계로 보호 될 수 있습니다. 1) CSRF 보호 활성화, 2) 입력 검증 구현 및 3) 출력 탈출 사용. 이러한 조치는 CSRF, SQL 주입 및 XSS 공격으로부터 CSRF 토큰을 포함시켜 검증 규칙 및 자동 HTML 이스케이프를 정의하여 응용 프로그램의 보안을 보장함으로써 XSS 공격을 방지합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
Dreamweaver Mac版
시각적 웹 개발 도구
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
