一、CSRF

即Cross-site request forgery跨站請(qǐng)求偽造,是指有人冒充你的身份進(jìn)行一些惡意操作。
比如你登錄了網(wǎng)站A,網(wǎng)站A在你的電腦設(shè)置了cookie用以標(biāo)識(shí)身份和狀態(tài),然后你又訪問(wèn)了網(wǎng)站B,這時(shí)候網(wǎng)站B就可以冒充你的身份在A網(wǎng)站進(jìn)行操作,因?yàn)榫W(wǎng)站B在請(qǐng)求網(wǎng)站A時(shí),瀏覽器會(huì)自動(dòng)發(fā)送之前設(shè)置的cookie信息,讓網(wǎng)站A誤認(rèn)為仍然是你在進(jìn)行操作。
對(duì)于csrf的防范,一般都會(huì)放在服務(wù)器端進(jìn)行,那么我們來(lái)看下Yii2中是如何進(jìn)行防范的。

二、Yii2 CSRF

首先說(shuō)明一下,我安裝的是Yii2高級(jí)模版。

csrf token生成

vendor\yiisoft\yii2\web\Request.php

public function getCsrfToken($regenerate = false){    if ($this->_csrfToken === null || $regenerate) {        if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
  &
        
		

        		
網(wǎng)友評(píng)論