YII 局部CSRF、令牌使用sessio存储

原創 凄魅旋律 2018-08-24 07:17
YII 自带的CSRF功能很强大,每个form提交的数都会进行令牌验证,导致在接收支付宝同步通知时,被YII的CSRF功能挡之门外。项目中可能有些地方需要进行CSRF验证,但是有些地方又不需要。YII2在顶级控制器中添加了关闭csrf的一个属性:
/**
 * @var boolean whether to enable CSRF validation for the actions in this controller.
 * CSRF validation is enabled only when both this property and [[Request::enableCsrfValidation]] are true.
*/
 public $enableCsrfValidation = true;

但是yii2.0以下的版本是没有这个属性的。这是就得重写HttpRequest组件了。

<?php
class HttpRequest extends CHttpRequest{

    public $noCsrfValidationRoutes=array();

    //将CSRF令牌存入session
    /**
    +----------------------------------------------------------
     * 重写CHttpRequest中getCsrfToken方法
    +----------------------------------------------------------
     * author   fujia<@.com>
     * time     2015年4月27日20:47:54
    +----------------------------------------------------------
     */
    public function getCsrfToken(){
        if($this->_csrfToken===null)
        {
            $session = Yii::app()->session;
            $csrfToken=$session->itemAt($this->csrfTokenName);

            if($csrfToken===null)
            {
                $csrfToken = sha1(uniqid(mt_rand(),true));
                $session->add($this->csrfTokenName, $csrfToken);
            }
            $this->_csrfToken = $csrfToken;
        }

        return $this->_csrfToken;
    }

    //将使用session验证
    public function validateCsrfToken($event)
    {

        if($this->getIsPostRequest())
        {
            // only validate POST requests
            $session=Yii::app()->session;
            if($session->contains($this->csrfTokenName) && isset($_POST[$this->csrfTokenName]))
            {
                $tokenFromSession=$session->itemAt($this->csrfTokenName);
                $tokenFromPost=$_POST[$this->csrfTokenName];
                $valid=$tokenFromSession===$tokenFromPost;
            }
            else
            $valid=false;
            if(!$valid)
                throw new CHttpException(400,Yii::t('yii','The CSRF token could not be verified.'));
        }
    }
    //重写httprequest中的方法
    protected function normalizeRequest()
    {
        parent::normalizeRequest();

        //remove the event handler CSRF if this is a route we want skipped
        if($this->enableCsrfValidation)
        {
            $url=Yii::app()->getUrlManager()->parseUrl($this);
            foreach($this->noCsrfValidationRoutes as $route)
            {

                if(strpos($url,$route)===0)

                $result = Yii::app()->detachEventHandler('onBeginRequest',array($this,'validateCsrfToken'));
            }
        }
    }


}
在配置文件中加: 

'request'=>array(
			'class' => 'cfg_common.components.HttpRequest',
            'enableCsrfValidation'=>true,
            'enableCookieValidation'=>true,
            'noCsrfValidationRoutes'=>array(//不需要CSEF验证的URL
				'goods/cart',
				'goods/getOrder',
				'orders/notifyUrl',
				'orders/returnUrl',
				'orders/notifyUrlWap',
				'orders/returnUrlWap',
				'index/saveOrder',
			),
        ),
最后搞定


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

MongoDB之PHP的使用(GridFs)

爱在拜城_sunbea 2018-08-27 20:02:39

mongodb php之limit查询技巧

爱在拜城_sunbea 2018-08-27 20:02:03

mvc模式

t2keM 2018-08-27 19:51:38

算法:斐波那契数列

t2keM 2018-08-27 19:51:38

单一入口机制

t2keM 2018-08-27 19:51:37

使用WampServer搭建本地PHP环境,绑定域名,配置伪静态

stoneson 2018-08-27 19:48:49

关于下载PHP时候遇到的分类

zcy6675 2018-08-27 19:48:04

微信网页开发常用功能封装

m249005779 2018-08-27 19:47:09

ThinkPHP微信JSSDK的使用

m249005779 2018-08-27 19:47:09

composer

m249005779 2018-08-27 19:47:09

在homestead下创建laravel/lumen项目

雅希 2018-08-27 19:45:07

Windows下安装homestead常见问题详解

雅希 2018-08-27 19:45:04

小白学习laravel/lumen(一)前言

雅希 2018-08-27 19:45:04

myeclipse安装插件phpeclipse后进行PHP代码编写

小易Smalle 2018-08-27 19:41:07

PHP实现执行定时任务的几种思路详解

小易Smalle 2018-08-27 19:41:02