YII Framework架構教程之安全方案詳解,yiiframework
本文講述了YII Framework架構的安全方案。分享給大家供大家參考,具體如下:
web應用的安全問題是很重要的,在“駭客”盛行的年代,你的網站可能明天都遭受著攻擊,為了從某種程度上防止被攻擊,YII提供了防止攻擊的幾種解決方案。當然這裡講的安全是片面的,但是值得一看。
官方提供的解決方案有:如下
1. 跨站指令碼攻擊的防範
跨站指令碼攻擊(簡稱 XSS),即web應用從使用者收集使用者資料。 攻擊者常常向易受攻擊的web應用注入JavaScript,VBScript,ActiveX,HTML或 Flash來迷惑訪問者以收集訪問者的資訊。 舉個例子,一個未經良好設計的論壇系統可能不經檢查就顯示使用者所輸入的內容。 攻擊者可以在文章內容中注入一段惡意的JavaScript代碼。 這樣,當其他訪客在閱讀這個文章的時候,這些JavaScript代碼就可以在訪客的電腦上運行了。
一個防範XSS攻擊的最重要的措施之一就是:在顯示使用者輸入的內容之前進行內容檢查。 比如,你可以對內容中的HTML進行轉義處理。但是在某些情況下這種方法就不可取了,因為這種方法禁用了所有的HTML標籤。
Yii整合了HTMLPurifier並且為開發人員提供了一個很有用的組件CHtmlPurifier, 這個組件封裝了HTMLPurifier類。它可以將通過有效審查、安全和白名單功能來把所審核的內容中的所有的惡意代碼清除掉,並且確保過濾之後的內容過濾符合標準。
CHtmlPurifier組件可以作為一個widget或者filter來使用。 當作為一個widget來使用的時候,CHtmlPurifier可以對在視圖中顯示的內容進行安全過濾。 以下是程式碼範例:
<?php $this->beginWidget('CHtmlPurifier'); ?>//...這裡顯示使用者輸入的內容...<?php $this->endWidget(); ?>
2. 跨站請求偽造攻擊的防範
跨站請求偽造(簡稱CSRF)攻擊,即攻擊者在使用者瀏覽器在訪問惡意網站的時候,讓使用者的瀏覽器向一個受信任的網站發起攻擊者指定的請求。 舉個例子,一個惡意網站有一個圖片,這個圖片的src地址指向一個銀行網站:http://bank.example/withdraw?transfer=10000&to=someone。 如果使用者在登陸銀行的網站之後訪問了這個惡意網頁,那麼使用者的瀏覽器會向銀行網站發送一個指令,這個指令的內容可能是“向攻擊者的帳號轉賬10000元”。 跨站攻擊方式利用使用者信任的某個特定網站,而CSRF攻擊正相反,它利用使用者在某個網站中的特定使用者身份。
要防範CSRF攻擊,必須謹記一條:GET請求只允許檢索資料而不能修改伺服器上的任何資料。 而POST請求應當含有一些可以被伺服器識別的隨機數值,用來保證表單資料的來源和運行結果發送的去向是相同的。
Yii實現了一個CSRF防範機制,用來協助防範基於POST的攻擊。 這個機制的核心就是在cookie中設定一個隨機資料,然後把它同表單提交的POST資料中的相應值進行比較。
預設情況下,CSRF防範是禁用的。如果你要啟用它,可以編輯應用配置 中的組件中的CHttpRequest部分。
程式碼範例:
return array( 'components'=>array( 'request'=>array( 'enableCsrfValidation'=>true, ), ),);
要顯示一個表單,請使用CHtml::form而不要自己寫HTML代碼。因為CHtml::form可以自動地在表單中嵌入一個隱藏項,這個隱藏項儲存著驗證所需的隨機資料,這些資料可在表單提交的時候發送到伺服器進行驗證。
3. Cookie攻擊的防範
保護cookie免受攻擊是非常重要的。因為session ID通常儲存在Cookie中。 如果攻擊者竊取到了一個有效session ID,他就可以使用這個session ID對應的session資訊。
這裡有幾條防範對策:
您可以使用SSL來產生一個安全通道,並且只通過HTTPS串連來傳送驗證cookie。這樣攻擊者是無法解密所傳送的cookie的。
設定cookie的到期時間,對所有的cookie和seesion令牌也這樣做。這樣可以減少被攻擊的機會。
防範跨站代碼攻擊,因為它可以在使用者的瀏覽器觸發任意代碼,這些代碼可能會泄露使用者的cookie。
在cookie有變動的時候驗證cookie的內容。
Yii實現了一個cookie驗證機制,可以防止cookie被修改。啟用之後可以對cookie的值進行HMAC檢查。
Cookie驗證在預設情況下是禁用的。如果你要啟用它,可以編輯應用配置 中的組件中的CHttpRequest部分。
程式碼範例:
return array( 'components'=>array( 'request'=>array( 'enableCookieValidation'=>true, ), ),);
一定要使用經過Yii驗證過的cookie資料。使用Yii內建的cookies組件來進行cookie操作,不要使用$_COOKIES。
// 檢索一個名為$name的cookie值$cookie=Yii::app()->request->cookies[$name];$value=$cookie->value;......// 設定一個cookie$cookie=new CHttpCookie($name,$value);Yii::app()->request->cookies[$name]=$cookie;
更多關於Yii相關內容感興趣的讀者可查看本站專題:《Yii架構入門及常用技巧總結》、《php優秀開發架構總結》、《smarty模板入門基礎教程》、《php日期與時間用法總結》、《php物件導向程式設計入門教程》、《php字串(string)用法總結》、《php+mysql資料庫操作入門教程》及《php常見資料庫操作技巧匯總》
希望本文所述對大家基於Yii架構的PHP程式設計有所協助。
您可能感興趣的文章:
- PHP YII架構開發小技巧之模型(models)中rules自訂驗證規則
- Nginx配置PHP的Yii與CakePHP架構的rewrite規則樣本
- 使用Composer安裝Yii架構的方法
- Yii使用migrate命令執行sql語句的方法
- YII Framework架構使用YIIC快速建立YII應用之migrate用法執行個體詳解
- YII Framework架構教程之使用YIIC快速建立YII應用詳解
- YII Framework架構教程之國際化實現方法
- YII Framework架構教程之緩衝用法詳解
- YII Framework架構教程之日誌用法詳解
- YII Framework教程之異常處理詳解
- Yii rules常用規則樣本
http://www.bkjia.com/PHPjc/1110086.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/1110086.htmlTechArticleYII Framework架構教程之安全方案詳解,yiiframework 本文講述了YII Framework架構的安全方案。分享給大家供大家參考,具體如下: web應用的安全問...