首頁 >後端開發 >php教程 >詳解yii2 csrf的局部開關

詳解yii2 csrf的局部開關

*文
*文原創
2018-01-03 14:27:231655瀏覽

本文主要介紹了yii2局部關閉(開啟)csrf的驗證的實例程式碼。小編覺得蠻不錯的,現在分享給大家,也給大家做個參考。希望對大家有幫助。

(1)全域使用,我們直接在設定檔中設定enableCookieValidation為true

request => [ 
  'enableCookieValidation' => true, 
]

如果不需要使用csrf的話,設定'enableCookieValidation' => false ,但是這是不安全的,因此yii2的yii\web\request中的enableCookieValidation預設為true的,也就是預設開啟csrf的,所以我們也可以不配置這個值,預設為開啟。

如果開啟csrf,因為這是全域的,所以在任何的post請求都會要求認證,所以我們在post資料的時候,就必須設定csrf的資料隱藏在表單中。

<input type="hidden" name="_csrf" id=&#39;csrf&#39; value="<?= Yii::$app->request->csrfToken ?>">

post資料的時候必須要把這個值post過去,這個值的產生83e0b9f8cdad4f031f9e4efdaa38d325request->csrfToken ?>,傳回一個加密後的csrfToken 。

所以無論是post表單或ajax的post過去,都必須設定csrfToken這個值,並且要提交時要post過去。如果沒有的話,就會發生錯誤,無法認證通過。

(2)如果想在某些控制器不想使用csrf驗證的話,又該如何做呢?

方法很簡單,直接設定

public $enableCsrfValidation = false ,

因為這個Controller繼承與yii\web\Controller ,將相當於繼承於enableCsrfValidation這個屬性,那麼在建立控制器實例時,就會在這個控制器關閉csrf功能,存取這個控制器的post的方式時,也就不會進行驗證。

舉一個例子,例如我們開發API的時候,微信那邊的介面需要post資料給我們的介面時,由於微信端不知道csrfToken,所以存取post資料的時候,如果開啟全域csrf的話,那肯定不能存取成功的。所以這時就需要關閉這個API 的csrf。

3)如果要具體關閉至某一個action呢?

有時在某些功能中,我們需要在某一個action中關閉csrf驗證。我們知道對於csrf的驗證是在beforeAction($Action)中實現的,下面我們可以在Controller中重寫beforeAction($action)這個方法

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = [&#39;dologin&#39;]; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

傳入的參數$action是controller針對這個訪問實例化的對象,裡麵包含很多訊息,大家可以列印看看。

先執行$action->id取得目前的存取的action名稱。而$novalidactions是一個數組,裡面是action名稱,這些action都是你需要關閉csrf的認證的操作(需要關閉csrf認證的操作)。

透過目前的存取的action是否在這個$novalidactions中,如果在,說明這個action需要關閉csrf功能,所以就將這個控制器實例的設定為

$action->controller->enableCsrfValidation = false

接下來再執行parent::beforeAction($action),此時傳入來的$action裡的controller實例的enableCsrfValidation已變成false。

最後一定要回傳true,否則的話,不會往下執行action操作的。

(4)如果局部開啟呢?

首先在設定檔要設定

request => [
&#39;enableCookieValidation&#39; => false,
]

全域不使用csrf。

(a)要在控制器中開啟,只需要設定

public $enableCsrfValidation = true

則整個控制器都會開啟

(b)要在action中開啟

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = [&#39;dologin&#39;];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$accessactions是需要開啟csrf的action的名稱,將設定$action->controller->enableCsrfValidation = true,目前操作可以開啟csrf。

相關推薦:

詳解Yii框架如何實作記錄日誌到自訂檔案

詳解Yii框架批次插入資料的簡單擴充類別

「詳解yii2之restful api授權驗證

################################################## ###

以上是詳解yii2 csrf的局部開關的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn