欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

yii2局部關(guān)閉(開啟)csrf的驗證的實例代碼

 更新時間:2017年07月10日 11:06:01   作者:bingcool空間  
本篇文章主要介紹了yii2局部關(guān)閉(開啟)csrf的驗證的實例代碼。小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧

上一節(jié)主要是簡單地說了一下關(guān)于yii2的防御csrf的攻擊機制,接下來說一下關(guān)于如何全局和局部的開啟使用csrf。

(1)全局使用,我們直接在配置文件中設(shè)置enableCookieValidation為true

request => [ 
  'enableCookieValidation' => true, 
]

如果不需要使用csrf的話,設(shè)置'enableCookieValidation' => false,但是這是不安全的,因此yii2的yii\web\request中的enableCookieValidation默認設(shè)置為true的,也就是默認開啟csrf的,所以我們也可以不配置這個值,默認開啟。

如果開啟csrf,因為這是全局的,所以在任何的post請求都會要求認證,所以我們在post數(shù)據(jù)的時候,就必須設(shè)置csrf的數(shù)據(jù)隱藏在表單中。

復制代碼 代碼如下:

<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>"> 

post數(shù)據(jù)的時候必須要把這個值post過去,這個值的產(chǎn)生<?= Yii::$app->request->csrfToken ?>,返回一個加密后的csrfToken。

所以無論是post表單還是ajax的post過去,都必須設(shè)置csrfToken這個值,并且要提交時要post過去。如果沒有的話,就會發(fā)生錯誤,無法認證通過。

(2)如果想在某些控制器不想使用csrf驗證的話,又該如何做呢?

方法很簡單,直接設(shè)置

public $enableCsrfValidation = false ,

因為這個Controller繼承與yii\web\Controller ,將相當于繼承于enableCsrfValidation這個屬性,那么在創(chuàng)建控制器實例時,就會在這個控制器關(guān)閉csrf功能,訪問這個控制器的post的方式時,也就不會進行驗證。

舉一個例子,比如我們開發(fā)API的時候,微信那邊的接口需要post數(shù)據(jù)給我們的接口時,由于微信端不知道csrfToken,所以訪問post數(shù)據(jù)的時候,如果開啟全局csrf的話,那肯定不能訪問成功的。所以這時就需要關(guān)閉這個API 的csrf。

3)如果要具體關(guān)閉至某一個action呢?

有時在一些功能中,我們需要在某一個action中關(guān)閉csrf驗證。我們知道對于csrf的驗證是在beforeAction($Action)中實現(xiàn)的,下面我們可以在Controller中重寫beforeAction($action)這個方法

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = ['dologin']; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
}

傳入的參數(shù)$action是controller針對這個訪問實例化的對象,里面包含很多信息,大家可以打印看看。

首先執(zhí)行$action->id獲取當前的訪問的action名稱。而$novalidactions是一個數(shù)組,里面是action名稱,這些action都是是你需要關(guān)閉csrf的認證的操作(需要關(guān)閉csrf認證的操作)。

通過當前的訪問的action是否在這個$novalidactions中,如果在,說明這個action需要關(guān)閉csrf功能,所以就將這個控制器實例的設(shè)置為

$action->controller->enableCsrfValidation = false

接下來再執(zhí)行parent::beforeAction($action),此時傳入來的$action里的controller實例的enableCsrfValidation已變?yōu)閒alse。

最后一定要返回true,否則的話,不會往下執(zhí)行action操作的。

(4)如果局部開啟呢?

首先在配置文件要設(shè)置

request => [
'enableCookieValidation' => false,
]

全局不使用csrf。

(a)要在控制器中開啟,只需要設(shè)置

public $enableCsrfValidation = true

則整個控制器都會開啟

(b)要在action中開啟

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$accessactions是需要開啟csrf的action的名稱,將設(shè)置$action->controller->enableCsrfValidation = true,當前操作可以開啟csrf。

以上就是本文的全部內(nèi)容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

最新評論