上一節主要是簡單地說了一下關于yii2的防御csrf的攻擊機制����,接下來說一下關于如何全局和局部的開啟使用csrf�����。
(1)全局使用��,我們直接在配置文件中設置enableCookieValidation為true
request => [ 'enableCookieValidation' => true, ]
如果不需要使用csrf的話,設置'enableCookieValidation' => false,但是這是不安全的�����,因此yii2的yii/web/request中的enableCookieValidation默認設置為true的��,也就是默認開啟csrf的�����,所以我們也可以不配置這個值�����,默認開啟。
如果開啟csrf��,因為這是全局的�����,所以在任何的post請求都會要求認證�����,所以我們在post數據的時候����,就必須設置csrf的數據隱藏在表單中�����。
復制代碼 代碼如下:
<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">
post數據的時候必須要把這個值post過去��,這個值的產生<?= Yii::$app->request->csrfToken ?>�����,返回一個加密后的csrfToken。
所以無論是post表單還是ajax的post過去��,都必須設置csrfToken這個值����,并且要提交時要post過去。如果沒有的話����,就會發生錯誤,無法認證通過����。
(2)如果想在某些控制器不想使用csrf驗證的話,又該如何做呢�����?
方法很簡單����,直接設置
public $enableCsrfValidation = false ,
因為這個Controller繼承與yii/web/Controller ,將相當于繼承于enableCsrfValidation這個屬性,那么在創建控制器實例時����,就會在這個控制器關閉csrf功能��,訪問這個控制器的post的方式時����,也就不會進行驗證����。
舉一個例子�����,比如我們開發API的時候,微信那邊的接口需要post數據給我們的接口時��,由于微信端不知道csrfToken,所以訪問post數據的時候��,如果開啟全局csrf的話����,那肯定不能訪問成功的。所以這時就需要關閉這個API 的csrf�����。
3)如果要具體關閉至某一個action呢�����?
有時在一些功能中,我們需要在某一個action中關閉csrf驗證�����。我們知道對于csrf的驗證是在beforeAction($Action)中實現的�����,下面我們可以在Controller中重寫beforeAction($action)這個方法
public function beforeAction($action) { $currentaction = $action->id; $novalidactions = ['dologin']; if(in_array($currentaction,$novalidactions)) { $action->controller->enableCsrfValidation = false; } parent::beforeAction($action); return true; } 傳入的參數$action是controller針對這個訪問實例化的對象����,里面包含很多信息,大家可以打印看看�����。
首先執行$action->id獲取當前的訪問的action名稱����。而$novalidactions是一個數組,里面是action名稱�����,這些action都是是你需要關閉csrf的認證的操作(需要關閉csrf認證的操作)。
通過當前的訪問的action是否在這個$novalidactions中�����,如果在�����,說明這個action需要關閉csrf功能,所以就將這個控制器實例的設置為
$action->controller->enableCsrfValidation = false
接下來再執行parent::beforeAction($action)�����,此時傳入來的$action里的controller實例的enableCsrfValidation已變為false����。
最后一定要返回true��,否則的話��,不會往下執行action操作的�����。
(4)如果局部開啟呢�����?
首先在配置文件要設置
request => ['enableCookieValidation' => false,]
全局不使用csrf。
(a)要在控制器中開啟����,只需要設置
public $enableCsrfValidation = true
則整個控制器都會開啟
(b)要在action中開啟
public function beforeAction($action) {$currentaction = $action->id;$accessactions = ['dologin'];i f(in_array($currentaction,$accessactions)) { $action->controller->enableCsrfValidation = true; } parent::beforeAction($action); return true;} $accessactions是需要開啟csrf的action的名稱,將設置$action->controller->enableCsrfValidation = true,當前操作可以開啟csrf��。
以上就是本文的全部內容�����,希望對大家的學習有所幫助����,也希望大家多多支持VeVb武林網。
注:相關教程知識閱讀請移步到PHP教程頻道����。
