Yii2 關閉和打開csrf 驗證防止表單屢次重複提交

時間 2019-11-10

標籤 yii2 yii 關閉打開 csrf 驗證防止表單屢次重複提交欄目 PHP 简体版

原文原文鏈接

原文地址：http://blog.csdn.net/terry_water/article/details/52221007php

1.在Yii2配置中配置全部：全部的controller都將關閉csrf驗證，若是設置成true，則將打開csrf驗證。web

'request' => ['enableCsrfValidation' => false,
],

2.在Yii2 controller中配置當前的controller添加變量，下面的設置將關閉csrf驗證。ajax

 
 public $enableCsrfValidation = false; 

1.在Yii2配置中配置全部：全部的controller都將關閉csrf驗證，若是設置成true，則將打開csrf驗證。數組

'request' => ['enableCsrfValidation' => false,
],

2.在Yii2 controller中配置當前的controller添加變量，下面的設置將關閉csrf驗證。安全

 
 public $enableCsrfValidation = false; 

上一節主要是簡單地說了一下關於yii2的防護csrf的攻擊機制，接下來講一下關於如何全局和局部的開啓使用csrf。
 （1）全局使用，咱們直接在配置文件中設置enableCookieValidation爲true 
    [php] 
    view plain 
     copy print? 
   
request => [  
    'enableCookieValidation' => true,  
]  
 若是不須要使用csrf的話,設置'enableCookieValidation' => false,可是這是不安全的，所以yii2的yii\web\request中的enableCookieValidation默認設置爲true的，也就是默認開啓csrf的，因此咱們也能夠不配置這個值，默認開啓。
若是開啓csrf，由於這是全局的，因此在任何的post請求都會要求認證，因此咱們在post數據的時候，就必須設置csrf的數據隱藏在表單中。微信
 
    [php] 
    view plain 
     copy print? 
   
<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">  
 post數據的時候必需要把這個值post過去，這個值的產生<?= Yii::$app->request->csrfToken ?>，返回一個加密後的csrfToken。因此不管是post表單仍是ajax的post過去，都必須設置csrfToken這個值，而且要提交時要post過去。若是沒有的話，就會發生錯誤，沒法認證經過。
 yii2
（2）若是想在某些控制器不想使用csrf驗證的話，又該如何作呢？
 方法很簡單，直接設置微信開發
public $enableCsrfValidation = false ,app
由於這個Controller繼承與yii\web\Controller ,將至關於繼承於enableCsrfValidation這個屬性，那麼在建立控制器實例時，就會在這個控制器關閉csrf功能，訪問這個控制器的post的方式時，也就不會進行驗證。
 舉一個例子，好比咱們開發API的時候,微信那邊的接口須要post數據給咱們的接口時，因爲微信端不知道csrfToken,因此訪問post數據的時候，若是開啓全局csrf的話，那確定不能訪問成功的。因此這時就須要關閉這個API 的csrf。
 yii
3）若是要具體關閉至某一個action呢？
 有時在一些功能中，咱們須要在某一個action中關閉csrf驗證。咱們知道對於csrf的驗證是在beforeAction($Action)中實現的，下面咱們能夠在Controller中重寫beforeAction($action)這個方法
 
 
    [php] 
    view plain 
     copy print? 
   
public function beforeAction($action) {  
  
    $currentaction = $action->id;  
  
    $novalidactions = ['dologin'];  
  
    if(in_array($currentaction,$novalidactions)) {  
  
        $action->controller->enableCsrfValidation = false;  
    }  
    parent::beforeAction($action);  
  
    return true;  
}  
 傳入的參數$action是controller針對這個訪問實例化的對象，裏面包含不少信息，你們能夠打印看看。
 首先執行$action->id獲取當前的訪問的action名稱。而$novalidactions是一個數組，裏面是action名稱，這些action都是是你須要關閉csrf的認證的操做（須要關閉csrf認證的操做）。
 經過當前的訪問的action是否在這個$novalidactions中，若是在，說明這個action須要關閉csrf功能,因此就將這個控制器實例的設置爲$action->controller->enableCsrfValidation = false
 接下來再執行parent::beforeAction($action)，此時傳入來的$action裏的controller實例的enableCsrfValidation已變爲false。
 最後必定要返回true，不然的話，不會往下執行action操做的。
（4）若是局部開啓呢？
 首先在配置文件要設置
 request => [
 'enableCookieValidation' => false,
 ]
 全局不使用csrf。
(a)要在控制器中開啓，只須要設置
 public $enableCsrfValidation = true
 則整個控制器都會開啓
 
 (b)要在action中開啓
 public function beforeAction($action) {
 $currentaction = $action->id;
 $accessactions = ['dologin'];
 i f(in_array($currentaction,$accessactions)) {
               $action->controller->enableCsrfValidation = true;
   }
          parent::beforeAction($action);
         return true; } $accessactions是須要開啓csrf的action的名稱，將設置$action->controller->enableCsrfValidation = true,當前操做能夠開啓csrf。