yii2局部开启关闭csrf验证的代码-php教程-PHP中文网

首页

后端开发

php教程

yii2局部开启关闭csrf验证的代码

小云云

Feb 08, 2018 am 09:32 AM

csrfyii2关闭

本文主要和大家介绍了yii2局部关闭(开启)csrf的验证的实例代码。小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧，希望能帮助到大家。

（1）全局使用，我们直接在配置文件中设置enableCookieValidation为true

request => [ 
  &#39;enableCookieValidation&#39; => true, 
]

如果不需要使用csrf的话,设置'enableCookieValidation' => false,但是这是不安全的，因此yii2的yii\web\request中的enableCookieValidation默认设置为true的，也就是默认开启csrf的，所以我们也可以不配置这个值，默认开启。

如果开启csrf，因为这是全局的，所以在任何的post请求都会要求认证，所以我们在post数据的时候，就必须设置csrf的数据隐藏在表单中。

复制代码代码如下:

4d2ee99097ab2f2de81eed60d4f70e6frequest->csrfToken ?>">

post数据的时候必须要把这个值post过去，这个值的产生83e0b9f8cdad4f031f9e4efdaa38d325request->csrfToken ?>，返回一个加密后的csrfToken。

所以无论是post表单还是ajax的post过去，都必须设置csrfToken这个值，并且要提交时要post过去。如果没有的话，就会发生错误，无法认证通过。

（2）如果想在某些控制器不想使用csrf验证的话，又该如何做呢？

方法很简单，直接设置

public $enableCsrfValidation = false ,

因为这个Controller继承与yii\web\Controller ,将相当于继承于enableCsrfValidation这个属性，那么在创建控制器实例时，就会在这个控制器关闭csrf功能，访问这个控制器的post的方式时，也就不会进行验证。

举一个例子，比如我们开发API的时候,微信那边的接口需要post数据给我们的接口时，由于微信端不知道csrfToken,所以访问post数据的时候，如果开启全局csrf的话，那肯定不能访问成功的。所以这时就需要关闭这个API 的csrf。

3）如果要具体关闭至某一个action呢？

有时在一些功能中，我们需要在某一个action中关闭csrf验证。我们知道对于csrf的验证是在beforeAction($Action)中实现的，下面我们可以在Controller中重写beforeAction($action)这个方法

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = [&#39;dologin&#39;]; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

传入的参数$action是controller针对这个访问实例化的对象，里面包含很多信息，大家可以打印看看。

首先执行$action->id获取当前的访问的action名称。而$novalidactions是一个数组，里面是action名称，这些action都是是你需要关闭csrf的认证的操作（需要关闭csrf认证的操作）。

通过当前的访问的action是否在这个$novalidactions中，如果在，说明这个action需要关闭csrf功能,所以就将这个控制器实例的设置为

$action->controller->enableCsrfValidation = false

接下来再执行parent::beforeAction($action)，此时传入来的$action里的controller实例的enableCsrfValidation已变为false。

最后一定要返回true，否则的话，不会往下执行action操作的。

（4）如果局部开启呢？

首先在配置文件要设置

request => [
&#39;enableCookieValidation&#39; => false,
]

全局不使用csrf。

(a)要在控制器中开启，只需要设置

public $enableCsrfValidation = true

则整个控制器都会开启

(b)要在action中开启

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = [&#39;dologin&#39;];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$accessactions是需要开启csrf的action的名称，将设置$action->controller->enableCsrfValidation = true,当前操作可以开启csrf。

相关推荐：

详解yii2 csrf的局部开关

解决启用Csrf后出现400错误

Yii2.0防御csrf攻击方法

以上是yii2局部开启关闭csrf验证的代码的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

win10电脑如何关闭语音识别功能Jun 29, 2023 pm 05:07 PM

win10电脑如何关闭语音识别功能？相信有很多时候用户使用电脑时都会通过语音识别来快速的完成其他操作。不过也有部分用户在使用电脑的过程中不想要使用这个功能，那么我们要如何去关闭这个语音识别功能呢？下面就和小编一起来看看Win10关闭语音识别的攻略吧。Win10关闭语音识别的攻略1、在开始菜单单击鼠标右键，选择控制面板2、将控制面板【查看方式】修改为大图标，在下面点击语音识别3、点击左侧的高级语音选项4、将下面启动时运行语音识别前面的勾去掉，点击确定即可。

win11快速启动有必要关闭吗Jun 29, 2023 pm 03:10 PM

win11快速启动有必要关闭吗？win11的快速启动可以帮助用户快速完成电脑开机，十分方便。但是也有不少用户认为正常启动比起快速启动，更能让电脑硬件进行充分休息。那么win11的快速启动和正常启动模式到底有什么区别呢？快速启动功能有必要进行关闭吗？今天小编就来给大家详细说明一下吧。win11快速启动和正常启动区别介绍快速启动就是你的电脑没有实现根本意义上的关机。电脑在关机或者休眠后，计算机的内存是无法存储文件的，所以电脑会将内存中的所有内容保存到硬盘中，生成一个指定的文件，而在唤醒休眠或者再次开

Win11怎样关闭445端口Jul 04, 2023 pm 12:17 PM

　　Win11怎样关闭445端口？445号端口是一个TCP端口，是一个共享文件夹和打印机端口，在局域网内提供文件或打印机共享服务。近期有部分Win11用户想要关闭445端口，那么应该如何操作呢？很多小伙伴不知道怎么详细操作，小编下面整理了Win11关闭445端口的详细操作，如果你感兴趣的话，跟着小编一起往下看看吧！　　Win11关闭445端口的详细操作　　1、首先，按Win+S组合键，或点击底部任务栏上的搜索图标，打开的Windows搜索窗口，顶部输入Windows防火墙，然后点击系统给出的最佳

如何停用Win7交互式服务检测？Jun 30, 2023 am 09:33 AM

win7交互式服务检测怎么关闭？各位在使用电脑的过程中，是否有遇到过交互式服务检测这一提示窗口呢？该窗口一般都是由于病毒入侵导致的系统自动防护所引起的，因此我们需要对其十分重视，各位在关闭其之前，最好对电脑进行一次全面杀毒，那么，我们究竟要怎么关闭交互式服务检测这一窗口呢？下面就由小编为大家带来win7交互式服务检测关闭方法。win7交互式服务检测关闭方法1、首先按下左下角的“开始”按钮，然后在弹出的菜单窗口里点击“控制面板”选项。2、把“管理工具”打开后，接下来再点击“服务”。3、接着找到名为

Win7怎么关闭3D加快？Win7关掉3D加快的方式Jul 07, 2023 pm 04:29 PM

尽管说3D加快可以让视觉冲击有一定的提高，但3D加快作用十分占有运行内存，许多朋友要想关掉这一作用却不知怎么实际操作，那麼碰到这样的情况该怎么办呢？下边就和小编一起来看一看是如何解决的吧。Win7关掉3D加快的方式1、按住“win+r”键盘快捷键，开启运行窗口键入“dxdiag”按回车键开启DirectX确诊专用工具。2、随后将页面转换到“表明”查询，就可以查询到系统软件是不是打开3d加快。3、随后退回到桌面，再度按“win+r”键盘快捷键，开启运行窗口键入“regedit”按回车键开启注册表编

Laravel中的跨站脚本攻击（XSS）和跨站请求伪造（CSRF）防护Aug 13, 2023 pm 04:43 PM

Laravel中的跨站脚本攻击（XSS）和跨站请求伪造（CSRF）防护随着互联网的发展，网络安全问题也变得越来越严峻。其中，跨站脚本攻击（Cross-SiteScripting，XSS）和跨站请求伪造（Cross-SiteRequestForgery，CSRF）是最为常见的攻击手段之一。Laravel作为一款流行的PHP开发框架，为用户提供了多种安全机

PHP Session 跨域与跨站请求伪造的对比分析Oct 12, 2023 pm 12:58 PM

PHPSession跨域与跨站请求伪造的对比分析随着互联网的发展，Web应用程序的安全性显得格外重要。在开发Web应用程序时，PHPSession是一种常用的身份验证和会话跟踪机制，而跨域请求和跨站请求伪造(CSRF)则是两种主要的安全威胁。为了保护用户数据和应用程序的安全性，开发人员需要了解Session跨域和CSRF的区别，并采

如何在Shell脚本中正确关闭MySQL连接池？Jun 29, 2023 am 10:14 AM

如何在Shell脚本中正确关闭MySQL连接池？数据库是现代应用程序中不可或缺的一部分，而连接池则是管理数据库连接的重要工具。在使用Shell脚本处理数据库操作时，正确地关闭MySQL连接池是一个关键问题。本文将介绍如何在Shell脚本中正确关闭MySQL连接池。使用连接池管理工具当使用连接池管理工具时，关闭连接池通常会有与之对应的命令。比如，常用的连接池管

See all articles