我只想在我的几个控制器中打开 csrf 保护,所以我有
function __construct() {
parent::__construct();
$this->load->library('form_validation');
$this->load->library('tank_auth');
$this->load->helper(array('form', 'url'));
$this->load->model('user_model', '', true);
$this->config->set_item('csrf_protection', TRUE);
}
但它似乎不起作用,尽管当我在页面上执行 var_dump($this->config) 时,它显示 csrf_protection 为 TRUE,但未设置 cookie 并且表单有一个没有值的隐藏字段
<input type="hidden" name="ci_csrf_token" value="" />
Csrf 令牌名称和 cookie 名称均已设置,使用 form_open() 调用表单。
任何帮助将非常感激。
Update:因此,由于安全类构造中的行,从版本 2.1.1 开始这是不可能的if (config_item('csrf_protection') === TRUE) {
安全类在控制器之前初始化,因此控制器中的配置项更改自然不会影响它。
我有一个解决方案给你。创建一个自定义 application/core/MY_Security.php 并将其放入其中:
<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );
class MY_Security extends CI_Security
{
public function csrf_verify( )
{
foreach ( config_item('csrf_excludes') as $exclude )
{
$uri = load_class('URI', 'core');
if ( preg_match( $exclude, $uri->uri_string() ) > 0 )
{
// still do input filtering to prevent parameter piggybacking in the form
if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name] ) == 0)
{
unset( $_COOKIE[$this->_csrf_cookie_name] );
}
return;
}
}
parent::csrf_verify( );
}
}
这将检查以下排除项,您需要将其放入 CSRF 部分的 application/config.php 中:
$config['csrf_excludes'] = array
( '@^/?excluded_url_1/?@i'
, '@^/?excluded_url_2/?@i' );
每个匹配的 URL 模式都将从 CSRF 检查中排除。您可以在此处构建正则表达式http://rubular.com http://rubular.com
cheers
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
