Question

我想在我的一些控制器中打开csrf保护，所以我有

function __construct() {

    parent::__construct();
    $this->load->library('form_validation');        
    $this->load->library('tank_auth');
    $this->load->helper(array('form', 'url'));
    $this->load->model('user_model', '', true);

    $this->config->set_item('csrf_protection', TRUE);

}

但它似乎不起作用，虽然当我在页面上执行var_dump（$ this-＆gt; config）时它显示csrf_protection为TRUE，但是没有设置cookie并且表单有一个没有值的隐藏字段

<input type="hidden" name="ci_csrf_token" value="" />

设置了Csrf令牌名称和cookie名称，使用form_open（）调用表单。

非常感谢任何帮助。

更新：因为安全类构造中的行if (config_item('csrf_protection') === TRUE) {

，所以在版本2.1.1中无法做到这一点

安全类在控制器之前被初始化，因此控制器中配置项更改的自然不会影响它。

Answer 1

我有一个解决方案。创建一个自定义应用程序/ core / MY_Security.php并将其放入其中：

<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );

class MY_Security extends CI_Security
{
    public function csrf_verify( )
    {
        foreach ( config_item('csrf_excludes') as $exclude )
        {
            $uri = load_class('URI', 'core');
            if ( preg_match( $exclude, $uri->uri_string() ) > 0 )
            {
                // still do input filtering to prevent parameter piggybacking in the form
                if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name] ) == 0)
                {
                    unset( $_COOKIE[$this->_csrf_cookie_name] );
                }
                return;
            }
        }
        parent::csrf_verify( );
    }
}

这将检查以下排除您需要在CSRF部分中的application / config.php中添加的内容：

$config['csrf_excludes'] = array
    ( '@^/?excluded_url_1/?@i'
    , '@^/?excluded_url_2/?@i' );

每个匹配的网址格式都将从CSRF检查中排除。您可以在http://rubular.com

处构建正则表达式

欢呼声

设置配置项（csrf）在Codeigniter中不起作用

1 个答案: