php – 设置配置项(csrf)在Codeigniter中不起作用
发布时间:2020-12-13 17:15:58 所属栏目:PHP教程 来源:网络整理
导读:我只想在我的一些控制器中打开csrf保护,所以我有 function __construct() { parent::__construct(); $this-load-library('form_validation'); $this-load-library('tank_auth'); $this-load-helper(array('form','url')); $this-load-model('user_model','',
|
我只想在我的一些控制器中打开csrf保护,所以我有
function __construct() {
parent::__construct();
$this->load->library('form_validation');
$this->load->library('tank_auth');
$this->load->helper(array('form','url'));
$this->load->model('user_model','',true);
$this->config->set_item('csrf_protection',TRUE);
}
但它似乎不起作用,虽然当我在页面上执行var_dump($this-> config)时它显示csrf_protection为TRUE,但是没有设置cookie并且表单有一个没有值的隐藏字段 < input type =“hidden”name =“ci_csrf_token”value =“”/> Csrf令牌名称和cookie名称都已设置,表单使用form_open()调用. 任何帮助将非常感激. 更新:所以这不可能从版本2.1.1开始,因为安全类构造中的行if(config_item(‘csrf_protection’)=== TRUE){ 安全类在控制器之前初始化,因此控制器中配置项更改的自然不会影响它. 解决方法
我有一个解决方案给你.创建一个自定义应用程序/ core / MY_Security.php并将其放入其中:
<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );
class MY_Security extends CI_Security
{
public function csrf_verify( )
{
foreach ( config_item('csrf_excludes') as $exclude )
{
$uri = load_class('URI','core');
if ( preg_match( $exclude,$uri->uri_string() ) > 0 )
{
// still do input filtering to prevent parameter piggybacking in the form
if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS',$_COOKIE[$this->_csrf_cookie_name] ) == 0)
{
unset( $_COOKIE[$this->_csrf_cookie_name] );
}
return;
}
}
parent::csrf_verify( );
}
}
这将检查以下排除您需要在CSRF部分中的application / config.php中放入的内容: $config['csrf_excludes'] = array
( '@^/?excluded_url_1/?@i','@^/?excluded_url_2/?@i' );
每个匹配的URL模式都将从CSRF检查中排除.你可以在http://rubular.com这里建立正则表达式 干杯 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |