yii2局部開啟關閉csrf驗證的程式碼-php教程-PHP中文網

首頁

後端開發

php教程

yii2局部開啟關閉csrf驗證的程式碼

小云云

Feb 08, 2018 am 09:32 AM

csrfyii2關閉

本文主要和大家介紹了yii2局部關閉(開啟)csrf的驗證的實例代碼。小編覺得蠻不錯的，現在分享給大家，也給大家做個參考。一起跟著小編過來看看吧，希望能幫助大家。

（1）全域使用，我們直接在設定檔中設定enableCookieValidation為true

request => [ 
  &#39;enableCookieValidation&#39; => true, 
]

如果不需要使用csrf的話,設定'enableCookieValidation' => false,但是這是不安全的，因此yii2的yii\web\request中的enableCookieValidation預設為true的，也就是預設開啟csrf的，所以我們也可以不配置這個值，預設開啟。

如果開啟csrf，因為這是全域的，所以在任何的post請求都會要求認證，所以我們在post資料的時候，就必須設定csrf的資料隱藏在表單中。

複製程式碼程式碼如下:

post資料的時候必須要把這個值post過去，這個值的產生= Yii ::$app->request->csrfToken ?>，回傳一個加密後的csrfToken。

所以無論是post表單或ajax的post過去，都必須設定csrfToken這個值，並且要提交時要post過去。如果沒有的話，就會發生錯誤，無法認證通過。

（2）如果想在某些控制器不想使用csrf驗證的話，又該如何做呢？

方法很簡單，直接設定

public $enableCsrfValidation = false ,

因為這個Controller繼承與yii\web\Controller ,將相當於繼承於enableCsrfValidation這個屬性，那麼在建立控制器實例時，就會在這個控制器關閉csrf功能，存取這個控制器的post的方式時，也就不會進行驗證。

舉一個例子，例如我們開發API的時候,微信那邊的介面需要post資料給我們的介面時，由於微信端不知道csrfToken,所以存取post資料的時候，如果開啟全域csrf的話，那肯定不能存取成功的。所以這時就需要關閉這個API 的csrf。

3）如果要具體關閉至某一個action呢？

有時在某些功能中，我們需要在某一個action中關閉csrf驗證。我們知道對於csrf的驗證是在beforeAction($Action)中實現的，下面我們可以在Controller中重寫beforeAction($action)這個方法

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = [&#39;dologin&#39;]; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

。的參數$action是controller針對這個訪問實例化的對象，裡麵包含很多訊息，大家可以列印看看。

先執行$action->id取得目前的存取的action名稱。而$novalidactions是一個數組，裡面是action名稱，這些action都是你需要關閉csrf的認證的操作（需要關閉csrf認證的操作）。

透過目前的存取的action是否在這個$novalidactions中，如果在，說明這個action需要關閉csrf功能,所以就將這個控制器實例的設定為

$action->controller->enableCsrfValidation = false

接下來再執行parent::beforeAction($action)，此時傳入來的$action裡的controller實例的enableCsrfValidation已變成false。

最後一定要回傳true，否則的話，不會往下執行action操作的。

（4）如果局部開啟呢？

首先在設定檔要設定

request => [
&#39;enableCookieValidation&#39; => false,
]

全域不使用csrf。

(a)要在控制器中開啟，只需要設定

public $enableCsrfValidation = true

則整個控制器都會開啟

# (b)要在action中開啟

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = [&#39;dologin&#39;];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$accessactions是需要開啟csrf的action的名稱，將設定$action->controller->enableCsrfValidation = true,當前操作可以開啟csrf。

相關建議：

詳解yii2 csrf的局部開關

解決啟用Csrf後出現400錯誤

Yii2.0防禦csrf攻擊方法

以上是yii2局部開啟關閉csrf驗證的程式碼的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

PHP與Python：了解差異Apr 11, 2025 am 12:15 AM

PHP和Python各有優勢，選擇應基於項目需求。 1.PHP適合web開發，語法簡單，執行效率高。 2.Python適用於數據科學和機器學習，語法簡潔，庫豐富。

php：死亡還是簡單地適應？Apr 11, 2025 am 12:13 AM

PHP不是在消亡，而是在不斷適應和進化。 1)PHP從1994年起經歷多次版本迭代，適應新技術趨勢。 2)目前廣泛應用於電子商務、內容管理系統等領域。 3)PHP8引入JIT編譯器等功能，提升性能和現代化。 4)使用OPcache和遵循PSR-12標準可優化性能和代碼質量。

PHP的未來：改編和創新Apr 11, 2025 am 12:01 AM

PHP的未來將通過適應新技術趨勢和引入創新特性來實現：1)適應云計算、容器化和微服務架構，支持Docker和Kubernetes；2)引入JIT編譯器和枚舉類型，提升性能和數據處理效率；3)持續優化性能和推廣最佳實踐。

您什麼時候使用特質與PHP中的抽像類或接口？Apr 10, 2025 am 09:39 AM

在PHP中，trait適用於需要方法復用但不適合使用繼承的情況。 1)trait允許在類中復用方法，避免多重繼承複雜性。 2)使用trait時需注意方法衝突，可通過insteadof和as關鍵字解決。 3)應避免過度使用trait，保持其單一職責，以優化性能和提高代碼可維護性。

什麼是依賴性注入容器（DIC），為什麼在PHP中使用一個？Apr 10, 2025 am 09:38 AM

依賴注入容器（DIC）是一種管理和提供對象依賴關係的工具，用於PHP項目中。 DIC的主要好處包括：1.解耦，使組件獨立，代碼易維護和測試；2.靈活性，易替換或修改依賴關係；3.可測試性，方便注入mock對象進行單元測試。

與常規PHP陣列相比，解釋SPL SplfixedArray及其性能特徵。Apr 10, 2025 am 09:37 AM

SplFixedArray在PHP中是一種固定大小的數組，適用於需要高性能和低內存使用量的場景。 1)它在創建時需指定大小，避免動態調整帶來的開銷。 2)基於C語言數組，直接操作內存，訪問速度快。 3)適合大規模數據處理和內存敏感環境，但需謹慎使用，因其大小固定。

PHP如何安全地上載文件？Apr 10, 2025 am 09:37 AM

PHP通過$\_FILES變量處理文件上傳，確保安全性的方法包括：1.檢查上傳錯誤，2.驗證文件類型和大小，3.防止文件覆蓋，4.移動文件到永久存儲位置。

什麼是無效的合併操作員（??）和無效分配運算符（?? =）？Apr 10, 2025 am 09:33 AM

JavaScript中處理空值可以使用NullCoalescingOperator(??)和NullCoalescingAssignmentOperator(??=)。 1.??返回第一個非null或非undefined的操作數。 2.??=將變量賦值為右操作數的值，但前提是該變量為null或undefined。這些操作符簡化了代碼邏輯，提高了可讀性和性能。

See all articles