上一節(jié)主要是簡單地說了一下關(guān)于yii2的防御csrf的攻擊機(jī)制，接下來說一下關(guān)于如何全局和局部的開啟使用csrf。

（1）全局使用，我們直接在配置文件中設(shè)置enableCookieValidation為true

request => [ 
  'enableCookieValidation' => true, 
] 

如果不需要使用csrf的話,設(shè)置'enableCookieValidation' => false,但是這是不安全的，因此yii2的yii\web\request中的enableCookieValidation默認(rèn)設(shè)置為true的，也就是默認(rèn)開啟csrf的，所以我們也可以不配置這個(gè)值，默認(rèn)開啟。

如果開啟csrf，因?yàn)檫@是全局的，所以在任何的post請求都會(huì)要求認(rèn)證，所以我們在post數(shù)據(jù)的時(shí)候，就必須設(shè)置csrf的數(shù)據(jù)隱藏在表單中。

post數(shù)據(jù)的時(shí)候必須要把這個(gè)值post過去，這個(gè)值的產(chǎn)生<?= Yii::$app->request->csrfToken ?>，返回一個(gè)加密后的csrfToken。

所以無論是post表單還是ajax的post過去，都必須設(shè)置csrfToken這個(gè)值，并且要提交時(shí)要post過去。如果沒有的話，就會(huì)發(fā)生錯(cuò)誤，無法認(rèn)證通過。

（2）如果想在某些控制器不想使用csrf驗(yàn)證的話，又該如何做呢？

方法很簡單，直接設(shè)置

public $enableCsrfValidation = false ,

因?yàn)檫@個(gè)Controller繼承與yii\web\Controller ,將相當(dāng)于繼承于enableCsrfValidation這個(gè)屬性，那么在創(chuàng)建控制器實(shí)例時(shí)，就會(huì)在這個(gè)控制器關(guān)閉csrf功能，訪問這個(gè)控制器的post的方式時(shí)，也就不會(huì)進(jìn)行驗(yàn)證。

舉一個(gè)例子，比如我們開發(fā)API的時(shí)候,微信那邊的接口需要post數(shù)據(jù)給我們的接口時(shí)，由于微信端不知道csrfToken,所以訪問post數(shù)據(jù)的時(shí)候，如果開啟全局csrf的話，那肯定不能訪問成功的。所以這時(shí)就需要關(guān)閉這個(gè)API 的csrf。

3）如果要具體關(guān)閉至某一個(gè)action呢？

有時(shí)在一些功能中，我們需要在某一個(gè)action中關(guān)閉csrf驗(yàn)證。我們知道對于csrf的驗(yàn)證是在beforeAction($Action)中實(shí)現(xiàn)的，下面我們可以在Controller中重寫beforeAction($action)這個(gè)方法

public function beforeAction($action) { 
 
  $currentaction = $action->id; 
 
  $novalidactions = ['dologin']; 
 
  if(in_array($currentaction,$novalidactions)) { 
 
    $action->controller->enableCsrfValidation = false; 
  } 
  parent::beforeAction($action); 
 
  return true; 
} 

傳入的參數(shù)$action是controller針對這個(gè)訪問實(shí)例化的對象，里面包含很多信息，大家可以打印看看。

首先執(zhí)行$action->id獲取當(dāng)前的訪問的action名稱。而$novalidactions是一個(gè)數(shù)組，里面是action名稱，這些action都是是你需要關(guān)閉csrf的認(rèn)證的操作（需要關(guān)閉csrf認(rèn)證的操作）。

通過當(dāng)前的訪問的action是否在這個(gè)$novalidactions中，如果在，說明這個(gè)action需要關(guān)閉csrf功能,所以就將這個(gè)控制器實(shí)例的設(shè)置為

$action->controller->enableCsrfValidation = false

接下來再執(zhí)行parent::beforeAction($action)，此時(shí)傳入來的$action里的controller實(shí)例的enableCsrfValidation已變?yōu)閒alse。

最后一定要返回true，否則的話，不會(huì)往下執(zhí)行action操作的。

（4）如果局部開啟呢？

首先在配置文件要設(shè)置

request => [
'enableCookieValidation' => false,
]

全局不使用csrf。

(a)要在控制器中開啟，只需要設(shè)置

public $enableCsrfValidation = true

則整個(gè)控制器都會(huì)開啟

(b)要在action中開啟

public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
       $action->controller->enableCsrfValidation = true;
 }

    parent::beforeAction($action);
    return true;
}

$accessactions是需要開啟csrf的action的名稱，將設(shè)置$action->controller->enableCsrfValidation = true,當(dāng)前操作可以開啟csrf。

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。