Yii 1.1.17:CSRF令牌驗證通過Angular Controller的POST失敗
[英]Yii 1.1.17: CSRF token validation fails with POST via Angular Controller
問題描述
我有一個Yii應用程序,其中有一個鏈接(窗體外部)觸發一個發布一些數據的Angular控制器。 問題是Yii不會在發生這種情況時驗證CSRF令牌。
我的原始網址看起來像這樣:
<a id="yt1" href="#" ng-click="markAllAsRead(23, '1eb4e3ac755e22939a0fc8d5ea0e9bacb453319a')" title="Read All" tooltips-size="small" tooltips="1" class="notification-tool ng-isolate-scope"><i class="fa fa-eye"></i></a>
我的Angular控制器調用了一個如下所示的Angular服務:
notificationsService.markAllAsRead = function (user_id, csrf) {
var dataObject = {
user_id: user_id,
YII_CSRF_TOKEN: csrf
};
$http.post("/api/notifications/readAll", dataObject).success(function (data) {
return data;
});
};
POST請求看起來像這樣:
如果我禁用CSRF驗證,則調用成功。
有任何想法嗎?
謝謝!
完整答案:
經過一番調查之后,我注意到$_POST (也是Yii的$request->getPost() )實際上是空的,即使Angular正在發布數據。 閱讀關於stackoverflow的答案 ,似乎這實際上是與Angular JS有關的一個問題,它的默認行為是發布為apllication/json (嗯,也許不完全是問題)。 正如該問題的標記答案所建議的那樣,並基於對鏈接答案的建議,我最終如下重寫了Yii的CHttpRequest類:
class AppRequest extends CHttpRequest
{
public function validateCsrfToken($event)
{
if ($this->getIsPostRequest() ||
$this->getIsPutRequest() ||
$this->getIsPatchRequest() ||
$this->getIsDeleteRequest()
) {
$cookies = $this->getCookies();
$method = $this->getRequestType();
switch ($method) {
case 'POST':
if (empty($this->getPost($this->csrfTokenName))) {
$input = json_decode(file_get_contents('php://input'), true);;
$userToken = $input[$this->csrfTokenName];
} else {
$userToken = $this->getPost($this->csrfTokenName);
}
break;
case 'PUT':
if (empty($this->getPut($this->csrfTokenName))) {
$input = json_decode(file_get_contents('php://input'), true);;
$userToken = $input[$this->csrfTokenName];
} else {
$userToken = $this->getPut($this->csrfTokenName);
}
break;
case 'PATCH':
if (empty($this->getPatch($this->csrfTokenName))) {
$input = json_decode(file_get_contents('php://input'), true);;
$userToken = $input[$this->csrfTokenName];
} else {
$userToken = $this->getPatch($this->csrfTokenName);
}
break;
case 'DELETE':
if (empty($this->getDelete($this->csrfTokenName))) {
$input = json_decode(file_get_contents('php://input'), true);;
$userToken = $input[$this->csrfTokenName];
} else {
$userToken = $this->getDelete($this->csrfTokenName);
}
break;
}
if (!empty($userToken) && $cookies->contains($this->csrfTokenName)) {
$cookieToken = $cookies->itemAt($this->csrfTokenName)->value;
$valid = $cookieToken === $userToken;
} else
$valid = false;
if (!$valid)
throw new CHttpException(400, Yii::t('yii', 'The CSRF token could not be verified.'));
}
}
}
1 個解決方案
解決方案1
1 已采納 2016-03-25 09:51:53
如果您查看CHttpRequest並觀察驗證的執行方式,那么您將了解問題。
public function validateCsrfToken($event)
{
if ($this->getIsPostRequest() ||
$this->getIsPutRequest() ||
$this->getIsPatchRequest() ||
$this->getIsDeleteRequest())
{
$cookies=$this->getCookies();
$method=$this->getRequestType();
switch($method)
{
case 'POST':
$userToken=$this->getPost($this->csrfTokenName);
break;
case 'PUT':
$userToken=$this->getPut($this->csrfTokenName);
break;
case 'PATCH':
$userToken=$this->getPatch($this->csrfTokenName);
break;
case 'DELETE':
$userToken=$this->getDelete($this->csrfTokenName);
}
if (!empty($userToken) && $cookies->contains($this->csrfTokenName))
{
$cookieToken=$cookies->itemAt($this->csrfTokenName)->value;
$valid=$cookieToken===$userToken;
}
else
$valid = false;
if (!$valid)
throw new CHttpException(400,Yii::t('yii','The CSRF token could not be verified.'));
}
}
因此,要使CSRF驗證有效,我們需要兩個條件:
客戶必須符合發送帶有cookie的請求並接受cookie的資格。
我們需要在請求中傳遞令牌。
您的情況下的第二個條件不起作用。 您正在將json傳遞給請求正文,而Yii試圖從帖子中獲取令牌:
$userToken=$this->getPost($this->csrfTokenName);
要更改此行為,您需要覆蓋CHttpRequest並更改配置文件以使用您的Request類,例如
'components' => array(
'request' => array(
'class' => 'application.components.HttpRequest',
'enableCsrfValidation' => true,
),
),
希望這將有助於了解執行CSRF驗證時發生的情況。
如何通過JavaScript在Dropzone上傳帖子中發送CSRF令牌?
[英]How to send csrf token in dropzone upload post via javascript?
我嘗試通過Yii中的鏈接發送POST數據時找不到CSRF令牌
[英]Can't find CSRF token as i try to send POST data thru a link in Yii
_token存在於POST數據上,但表單失敗並顯示錯誤:“ CSRF令牌無效。 請嘗試重新提交表格”
[英]_token is present on the POST data but form fails with error: “The CSRF token is invalid. Please try to resubmit the form”
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
通過Ajax進行POST時,Laravel 5.6 CSRF令牌失敗
通過Ajax工作時,Phalcon php csrf令牌驗證失敗
yii Csrf令牌cookie,為什么轉移到帖子?
在Yii 1.1.17中制作自定義網址
如何通過JavaScript在Dropzone上傳帖子中發送CSRF令牌?
Yii CSRF Token 無法驗證
Yii中的CSRF令牌超時了嗎?
將 Yii1 CSRF Token 用於 Yii2
我嘗試通過Yii中的鏈接發送POST數據時找不到CSRF令牌
_token存在於POST數據上,但表單失敗並顯示錯誤:“ CSRF令牌無效。 請嘗試重新提交表格”
相關標簽