目錄
回复内容:
首頁 後端開發 php教程 Yii2 中CSRF的疑问(完结)

Yii2 中CSRF的疑问(完结)

Jun 06, 2016 pm 08:18 PM
php yii yii2

  1. 描述你的问题
    在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?

Yii2 中CSRF的疑问(完结)

如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!
怎么让csrf的值可以刷新后用于第二次请求。

不要让我关闭csrf,csrf本来就是为了防御这种请求的。

经过楼下兄弟的指点,现分析如下,
在使用他自带的表单的时候,\yii\helpers\BaseHtml::beginForm 方法中有判断,如果在一次页面展示中多次调用表单创建,则每次获取的csrf都是一样的,也就是说,同一页面多个表单,都可用的。
我们知道csrf验证是在\yii\web\Request类中,但是该类在初始化的时候我并没有看到他有检查csrf,所以我们需要知道他是在哪里进行检查的,通过全文搜索,发现在\yii\web\Controller类的beforeAction方法中有检查,原型如下:

<code>/**
     * @inheritdoc
     */
    public function beforeAction($action)
    {
        if (parent::beforeAction($action)) {
            if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
                throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
            }
            return true;
        }
        
        return false;
    }</code>
登入後複製
登入後複製

通过该代码我们知道,在检查csrf是直接使用的\yii\web\Request::validateCsrfToken方法,在该方法中先通过loadCsrfToken方法获取csrf,

<code>/**
     * Loads the CSRF token from cookie or session.
     * @return string the CSRF token loaded from cookie or session. Null is returned if the cookie or session
     * does not have CSRF token.
     */
    protected function loadCsrfToken()
    {
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        } else {
            return Yii::$app->getSession()->get($this->csrfParam);
        }
    }</code>
登入後複製
登入後複製

这个代码很好理解,就是cookie取,没开的话就在session取,然后返回。
然后通过validateCsrfTokenInternal方法验证csrf token,通过跟踪代码发现,在验证完csrf后并没有删除该csrf,换句话说就是该csrf还是可以用的,只要你页面不刷新,因为页面刷新时在 你布局文件的头部会有个 = Html::csrfMetaTags() ?>用来输出csrf,这时候上一个csrf就会失效的。所以说一个页面不停地AJAX请求,只要不刷新是没问题的。
结论:
在yii中一共有如下几个地方会刷新csrf
\yii\helpers\BaseHtml::beginFormHtml::csrfMetaTags()\yii\web\Request::getCsrfToken,关键点在\yii\web\Request::getCsrfToken方法里如楼下兄弟所言,$regenerate 参数也可以控制强制重新生成csrf token.

<code>private $_csrfToken;

    /**
     * Returns the token used to perform CSRF validation.
     *
     * This token is a masked version of [[rawCsrfToken]] to prevent [BREACH attacks](http://breachattack.com/).
     * This token may be passed along via a hidden field of an HTML form or an HTTP header value
     * to support CSRF validation.
     * @param boolean $regenerate whether to regenerate CSRF token. When this parameter is true, each time
     * this method is called, a new CSRF token will be generated and persisted (in session or cookie).
     * @return string the token used to perform CSRF validation.
     */
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {
            if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
                $token = $this->generateCsrfToken();
            }
            // the mask doesn't need to be very random
            $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
            $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
            // The + sign may be decoded as blank space later, which will fail the validation
            $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
        }

        return $this->_csrfToken;
    }</code>
登入後複製
登入後複製

该方法在获取csrftoken的时候判断 $this->_csrfToken是否是空的,按照页面正常加载来说程序一启动肯定是空的,这个值不是存客户端的,这个也不是从服务端获取的,是页面启动后就是空的,只有执行该方法后生成的csrf token才会放入cookiesession,也就是说在同一个请求中多次执行该方法,获取的csrf token都是一样的,如果一个新页面请求到该方法就会重新生成,这也是不同页面刷新为何csrf token一直变的原因,所以,csrf token值可多次使用,但是只限当前页面的ajax请求。

我的系统问题是由于我使用的是IIS 10作为Web,又开了Url重写,默认不存在的文件或文件夹都会重写给Yii处理,然而我没有在web目录下放置传说中的favicon.ico文件,导致有个404,这个是浏览器在后台自动请求的,导致yii输出了一个404,而我不知道,404页面又调用了布局,导致csrf token 被刷新了。很二是吧。。。。。。

回复内容:

  1. 描述你的问题
    在开启Csrf防御的时候,默认csrf的值只能使用一次,第二次提交就是验证不通过,因为已经使用过了,那么如何做下面这种效果呢?

Yii2 中CSRF的疑问(完结)

如图,该页面是Ajax提交请求,那么第一个按钮点击后csrf值失效了,第二次提交失败返回400错误,求解!
怎么让csrf的值可以刷新后用于第二次请求。

不要让我关闭csrf,csrf本来就是为了防御这种请求的。

经过楼下兄弟的指点,现分析如下,
在使用他自带的表单的时候,\yii\helpers\BaseHtml::beginForm 方法中有判断,如果在一次页面展示中多次调用表单创建,则每次获取的csrf都是一样的,也就是说,同一页面多个表单,都可用的。
我们知道csrf验证是在\yii\web\Request类中,但是该类在初始化的时候我并没有看到他有检查csrf,所以我们需要知道他是在哪里进行检查的,通过全文搜索,发现在\yii\web\Controller类的beforeAction方法中有检查,原型如下:

<code>/**
     * @inheritdoc
     */
    public function beforeAction($action)
    {
        if (parent::beforeAction($action)) {
            if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
                throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
            }
            return true;
        }
        
        return false;
    }</code>
登入後複製
登入後複製

通过该代码我们知道,在检查csrf是直接使用的\yii\web\Request::validateCsrfToken方法,在该方法中先通过loadCsrfToken方法获取csrf,

<code>/**
     * Loads the CSRF token from cookie or session.
     * @return string the CSRF token loaded from cookie or session. Null is returned if the cookie or session
     * does not have CSRF token.
     */
    protected function loadCsrfToken()
    {
        if ($this->enableCsrfCookie) {
            return $this->getCookies()->getValue($this->csrfParam);
        } else {
            return Yii::$app->getSession()->get($this->csrfParam);
        }
    }</code>
登入後複製
登入後複製

这个代码很好理解,就是cookie取,没开的话就在session取,然后返回。
然后通过validateCsrfTokenInternal方法验证csrf token,通过跟踪代码发现,在验证完csrf后并没有删除该csrf,换句话说就是该csrf还是可以用的,只要你页面不刷新,因为页面刷新时在 你布局文件的头部会有个 = Html::csrfMetaTags() ?>用来输出csrf,这时候上一个csrf就会失效的。所以说一个页面不停地AJAX请求,只要不刷新是没问题的。
结论:
在yii中一共有如下几个地方会刷新csrf
\yii\helpers\BaseHtml::beginFormHtml::csrfMetaTags()\yii\web\Request::getCsrfToken,关键点在\yii\web\Request::getCsrfToken方法里如楼下兄弟所言,$regenerate 参数也可以控制强制重新生成csrf token.

<code>private $_csrfToken;

    /**
     * Returns the token used to perform CSRF validation.
     *
     * This token is a masked version of [[rawCsrfToken]] to prevent [BREACH attacks](http://breachattack.com/).
     * This token may be passed along via a hidden field of an HTML form or an HTTP header value
     * to support CSRF validation.
     * @param boolean $regenerate whether to regenerate CSRF token. When this parameter is true, each time
     * this method is called, a new CSRF token will be generated and persisted (in session or cookie).
     * @return string the token used to perform CSRF validation.
     */
    public function getCsrfToken($regenerate = false)
    {
        if ($this->_csrfToken === null || $regenerate) {
            if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
                $token = $this->generateCsrfToken();
            }
            // the mask doesn't need to be very random
            $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
            $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
            // The + sign may be decoded as blank space later, which will fail the validation
            $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
        }

        return $this->_csrfToken;
    }</code>
登入後複製
登入後複製

该方法在获取csrftoken的时候判断 $this->_csrfToken是否是空的,按照页面正常加载来说程序一启动肯定是空的,这个值不是存客户端的,这个也不是从服务端获取的,是页面启动后就是空的,只有执行该方法后生成的csrf token才会放入cookiesession,也就是说在同一个请求中多次执行该方法,获取的csrf token都是一样的,如果一个新页面请求到该方法就会重新生成,这也是不同页面刷新为何csrf token一直变的原因,所以,csrf token值可多次使用,但是只限当前页面的ajax请求。

我的系统问题是由于我使用的是IIS 10作为Web,又开了Url重写,默认不存在的文件或文件夹都会重写给Yii处理,然而我没有在web目录下放置传说中的favicon.ico文件,导致有个404,这个是浏览器在后台自动请求的,导致yii输出了一个404,而我不知道,404页面又调用了布局,导致csrf token 被刷新了。很二是吧。。。。。。

如果你在进行完一次请求没有手动去调用Yii::$app->request->getCsrfToken(true)的话是不会存在你说的验证不通过的问题的

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

適用於 Ubuntu 和 Debian 的 PHP 8.4 安裝和升級指南 適用於 Ubuntu 和 Debian 的 PHP 8.4 安裝和升級指南 Dec 24, 2024 pm 04:42 PM

PHP 8.4 帶來了多項新功能、安全性改進和效能改進,同時棄用和刪除了大量功能。 本指南介紹如何在 Ubuntu、Debian 或其衍生版本上安裝 PHP 8.4 或升級到 PHP 8.4

我後悔之前不知道的 7 個 PHP 函數 我後悔之前不知道的 7 個 PHP 函數 Nov 13, 2024 am 09:42 AM

如果您是經驗豐富的PHP 開發人員,您可能會感覺您已經在那裡並且已經完成了。操作

如何設定 Visual Studio Code (VS Code) 進行 PHP 開發 如何設定 Visual Studio Code (VS Code) 進行 PHP 開發 Dec 20, 2024 am 11:31 AM

Visual Studio Code,也稱為 VS Code,是一個免費的原始碼編輯器 - 或整合開發環境 (IDE) - 可用於所有主要作業系統。 VS Code 擁有大量針對多種程式語言的擴展,可以輕鬆編寫

在PHP API中說明JSON Web令牌(JWT)及其用例。 在PHP API中說明JSON Web令牌(JWT)及其用例。 Apr 05, 2025 am 12:04 AM

JWT是一種基於JSON的開放標準,用於在各方之間安全地傳輸信息,主要用於身份驗證和信息交換。 1.JWT由Header、Payload和Signature三部分組成。 2.JWT的工作原理包括生成JWT、驗證JWT和解析Payload三個步驟。 3.在PHP中使用JWT進行身份驗證時,可以生成和驗證JWT,並在高級用法中包含用戶角色和權限信息。 4.常見錯誤包括簽名驗證失敗、令牌過期和Payload過大,調試技巧包括使用調試工具和日誌記錄。 5.性能優化和最佳實踐包括使用合適的簽名算法、合理設置有效期、

php程序在字符串中計數元音 php程序在字符串中計數元音 Feb 07, 2025 pm 12:12 PM

字符串是由字符組成的序列,包括字母、數字和符號。本教程將學習如何使用不同的方法在PHP中計算給定字符串中元音的數量。英語中的元音是a、e、i、o、u,它們可以是大寫或小寫。 什麼是元音? 元音是代表特定語音的字母字符。英語中共有五個元音,包括大寫和小寫: a, e, i, o, u 示例 1 輸入:字符串 = "Tutorialspoint" 輸出:6 解釋 字符串 "Tutorialspoint" 中的元音是 u、o、i、a、o、i。總共有 6 個元

您如何在PHP中解析和處理HTML/XML? 您如何在PHP中解析和處理HTML/XML? Feb 07, 2025 am 11:57 AM

本教程演示瞭如何使用PHP有效地處理XML文檔。 XML(可擴展的標記語言)是一種用於人類可讀性和機器解析的多功能文本標記語言。它通常用於數據存儲

解釋PHP中的晚期靜態綁定(靜態::)。 解釋PHP中的晚期靜態綁定(靜態::)。 Apr 03, 2025 am 12:04 AM

靜態綁定(static::)在PHP中實現晚期靜態綁定(LSB),允許在靜態上下文中引用調用類而非定義類。 1)解析過程在運行時進行,2)在繼承關係中向上查找調用類,3)可能帶來性能開銷。

什麼是PHP魔術方法(__ -construct,__destruct,__call,__get,__ set等)並提供用例? 什麼是PHP魔術方法(__ -construct,__destruct,__call,__get,__ set等)並提供用例? Apr 03, 2025 am 12:03 AM

PHP的魔法方法有哪些? PHP的魔法方法包括:1.\_\_construct,用於初始化對象;2.\_\_destruct,用於清理資源;3.\_\_call,處理不存在的方法調用;4.\_\_get,實現動態屬性訪問;5.\_\_set,實現動態屬性設置。這些方法在特定情況下自動調用,提升代碼的靈活性和效率。

See all articles