本文主要介紹了yii2局部關閉(開啟)csrf的驗證的實例程式碼。小編覺得蠻不錯的,現在分享給大家,也給大家做個參考。希望對大家有幫助。
(1)全域使用,我們直接在設定檔中設定enableCookieValidation為true
request => [ 'enableCookieValidation' => true, ]
如果不需要使用csrf的話,設定'enableCookieValidation' => false ,但是這是不安全的,因此yii2的yii\web\request中的enableCookieValidation預設為true的,也就是預設開啟csrf的,所以我們也可以不配置這個值,預設為開啟。
如果開啟csrf,因為這是全域的,所以在任何的post請求都會要求認證,所以我們在post資料的時候,就必須設定csrf的資料隱藏在表單中。
<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">
post資料的時候必須要把這個值post過去,這個值的產生= Yii::$app->request->csrfToken ?>,傳回一個加密後的csrfToken 。
所以無論是post表單或ajax的post過去,都必須設定csrfToken這個值,並且要提交時要post過去。如果沒有的話,就會發生錯誤,無法認證通過。
(2)如果想在某些控制器不想使用csrf驗證的話,又該如何做呢?
方法很簡單,直接設定
public $enableCsrfValidation = false ,
因為這個Controller繼承與yii\web\Controller ,將相當於繼承於enableCsrfValidation這個屬性,那麼在建立控制器實例時,就會在這個控制器關閉csrf功能,存取這個控制器的post的方式時,也就不會進行驗證。
舉一個例子,例如我們開發API的時候,微信那邊的介面需要post資料給我們的介面時,由於微信端不知道csrfToken,所以存取post資料的時候,如果開啟全域csrf的話,那肯定不能存取成功的。所以這時就需要關閉這個API 的csrf。
3)如果要具體關閉至某一個action呢?
有時在某些功能中,我們需要在某一個action中關閉csrf驗證。我們知道對於csrf的驗證是在beforeAction($Action)中實現的,下面我們可以在Controller中重寫beforeAction($action)這個方法
public function beforeAction($action) {
$currentaction = $action->id;
$novalidactions = ['dologin'];
if(in_array($currentaction,$novalidactions)) {
$action->controller->enableCsrfValidation = false;
}
parent::beforeAction($action);
return true;
}傳入的參數$action是controller針對這個訪問實例化的對象,裡麵包含很多訊息,大家可以列印看看。
先執行$action->id取得目前的存取的action名稱。而$novalidactions是一個數組,裡面是action名稱,這些action都是你需要關閉csrf的認證的操作(需要關閉csrf認證的操作)。
透過目前的存取的action是否在這個$novalidactions中,如果在,說明這個action需要關閉csrf功能,所以就將這個控制器實例的設定為
$action->controller->enableCsrfValidation = false
接下來再執行parent::beforeAction($action),此時傳入來的$action裡的controller實例的enableCsrfValidation已變成false。
最後一定要回傳true,否則的話,不會往下執行action操作的。
(4)如果局部開啟呢?
首先在設定檔要設定
request => [ 'enableCookieValidation' => false, ]
全域不使用csrf。
(a)要在控制器中開啟,只需要設定
public $enableCsrfValidation = true
則整個控制器都會開啟
(b)要在action中開啟
public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
$action->controller->enableCsrfValidation = true;
}
parent::beforeAction($action);
return true;
} $accessactions是需要開啟csrf的action的名稱,將設定$action->controller->enableCsrfValidation = true,目前操作可以開啟csrf。
相關推薦:
################################################## ###以上是詳解yii2 csrf的局部開關的詳細內容。更多資訊請關注PHP中文網其他相關文章!
crypt()和password_hash()有什麼區別?Apr 30, 2025 pm 03:39 PM本文討論了PHP中的crypt()和password_hash()的差異,以進行密碼哈希,重點介紹其實施,安全性和對現代Web應用程序的適用性。
如何防止PHP中的跨站點腳本(XSS)?Apr 30, 2025 pm 03:38 PM文章討論了通過輸入驗證,輸出編碼以及使用OWASP ESAPI和HTML淨化器之類的工具來防止PHP中的跨站點腳本(XSS)。
PHP中的自動加載是什麼?Apr 30, 2025 pm 03:37 PM自動加載PHP會在需要時自動加載類文件,從而通過減少內存使用和增強代碼組織來提高性能。最佳實踐包括使用PSR-4和有效組織代碼。
可以使用PHP上傳的文件的最大大小是多少?Apr 30, 2025 pm 03:35 PM本文討論了在PHP中管理文件上傳大小的管理,重點是2MB的默認限制以及如何通過修改PHP.INI設置來增加它。
PHP中的無效類型是什麼?Apr 30, 2025 pm 03:34 PM本文討論了PHP 7.1中引入的PHP中的無效類型,允許變量或參數為指定類型或NULL。它突出顯示了諸如提高可讀性,類型安全性和明確意圖的好處,並解釋瞭如何聲明
unset()和unlink()函數之間有什麼區別?Apr 30, 2025 pm 03:33 PM本文討論了unset()和unlink()功能在編程中的差異,重點關注其目的和用例。 unset()從內存中刪除變量,而unlink()從文件系統中刪除文件。兩者都對效率至關重要
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
Safe Exam Browser
Safe Exam Browser是一個安全的瀏覽器環境,安全地進行線上考試。該軟體將任何電腦變成一個安全的工作站。它控制對任何實用工具的訪問,並防止學生使用未經授權的資源。
EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能
SublimeText3 Linux新版
SublimeText3 Linux最新版
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
PhpStorm Mac 版本
最新(2018.2.1 )專業的PHP整合開發工具
