yii2局部開啟關閉csrf驗證的代碼

來源:互聯網
上載者:User
本文主要和大家介紹了yii2局部關閉(開啟)csrf的驗證的執行個體代碼。小編覺得挺不錯的,現在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧,希望能協助到大家。

(1)全域使用,我們直接在設定檔中設定enableCookieValidation為true


request => [   'enableCookieValidation' => true, ]

如果不需要使用csrf的話,設定'enableCookieValidation' => false,但是這是不安全的,因此yii2的yii\web\request中的enableCookieValidation預設設定為true的,也就是預設開啟csrf的,所以我們也可以不配置這個值,預設開啟。

如果開啟csrf,因為這是全域的,所以在任何的post請求都會要求認證,所以我們在post資料的時候,就必須設定csrf的資料隱藏在表單中。

複製代碼 代碼如下:


<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">

post資料的時候必須要把這個值post過去,這個值的產生<?= Yii::$app->request->csrfToken ?>,返回一個加密後的csrfToken。

所以無論是post表單還是ajax的post過去,都必須設定csrfToken這個值,並且要提交時要post過去。如果沒有的話,就會發生錯誤,無法認證通過。

(2)如果想在某些控制器不想使用csrf驗證的話,又該如何做呢?

方法很簡單,直接設定


public $enableCsrfValidation = false ,

因為這個Controller繼承與yii\web\Controller ,將相當於繼承於enableCsrfValidation這個屬性,那麼在建立控制器執行個體時,就會在這個控制器關閉csrf功能,訪問這個控制器的post的方式時,也就不會進行驗證。

舉一個例子,比如我們開發API的時候,那邊的介面需要post資料給我們的介面時,由於端不知道csrfToken,所以訪問post資料的時候,如果開啟全域csrf的話,那肯定不能訪問成功的。所以這時就需要關閉這個API 的csrf。

3)如果要具體關閉至某一個action呢?

有時在一些功能中,我們需要在某一個action中關閉csrf驗證。我們知道對於csrf的驗證是在beforeAction($Action)中實現的,下面我們可以在Controller中重寫beforeAction($action)這個方法


public function beforeAction($action) {    $currentaction = $action->id;    $novalidactions = ['dologin'];    if(in_array($currentaction,$novalidactions)) {      $action->controller->enableCsrfValidation = false;   }   parent::beforeAction($action);    return true; }

傳入的參數$action是controller針對這個訪問執行個體化的對象,裡麵包含很多資訊,大家可以列印看看。

首先執行$action->id擷取當前的訪問的action名稱。而$novalidactions是一個數組,裡面是action名稱,這些action都是是你需要關閉csrf的認證的操作(需要關閉csrf認證的操作)。

通過當前的訪問的action是否在這個$novalidactions中,如果在,說明這個action需要關閉csrf功能,所以就將這個控制器執行個體的設定為


$action->controller->enableCsrfValidation = false

接下來再執行parent::beforeAction($action),此時傳入來的$action裡的controller執行個體的enableCsrfValidation已變為false。

最後一定要返回true,否則的話,不會往下執行action操作的。

(4)如果局部開啟呢?

首先在設定檔要設定


request => ['enableCookieValidation' => false,]

全域不使用csrf。

(a)要在控制器中開啟,只需要設定


public $enableCsrfValidation = true

則整個控制器都會開啟

(b)要在action中開啟


public function beforeAction($action) {$currentaction = $action->id;$accessactions = ['dologin'];i f(in_array($currentaction,$accessactions)) {       $action->controller->enableCsrfValidation = true; }    parent::beforeAction($action);    return true;}

$accessactions是需要開啟csrf的action的名稱,將設定$action->controller->enableCsrfValidation = true,當前操作可以開啟csrf。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.