启用Csrf后POST数据时出现的400错误
最近一直出现这样的错误,一直在查找原因,偶然看到一篇解决的文章,分享给大家看看。
第一种解决办法是关闭Csrf
public function init(){ $this->enableCsrfValidation = false; }
第二种解决办法是在form表单中加入隐藏域
<input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app->request->csrfToken ?>">
第三种解决办法是在AJAX中加入_csrf字段
var csrfToken = $('meta[name="csrf-token"]').attr("content"); $.ajax({ type: 'POST', url: url, data: {_csrf:csrfToken}, success: success, dataType: dataType });
Yii这个匹配的过程和Yii::$app->request->csrfToken 这个值存储位置说明:
存储位置
protected function createCsrfCookie($token) { $options = $this->csrfCookie; $options['name'] = $this->csrfParam; $options['value'] = $token; return new Cookie($options); }
校验方法
public function validateCsrfToken($token = null) { $method = $this->getMethod(); // only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1 if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) { return true; } $trueToken = $this->loadCsrfToken(); if ($token !== null) { return $this->validateCsrfTokenInternal($token, $trueToken); } else { return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken) || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken); } }
以上所述就是本文的全部内容了,希望大家能够喜欢。
相关推荐
-
PHP开发中csrf攻击的简单演示和防范
csrf攻击,即cross site request forgery跨站(域名)请求伪造,这里的forgery就是伪造的意思.网上有很多关于csrf的介绍,比如一位前辈的文章CSRF的攻击方式详解,参考这篇文章简单解释下:csrf 攻击能够实现依赖于这样一个简单的事实:我们在用浏览器浏览网页时通常会打开好几个浏览器标签(或窗口),假如我们登录了一个站点A,站点A如果是通过cookie来跟踪用户的会话,那么在用户登录了站点A之后,站点A就会在用户的客户端设置cookie,假如站点A有一个页面sit
-
PHP实现登陆表单提交CSRF及验证码
1.表单提交,并将其提交到本页 (1) form 属性method为post方法,修改路由,使其接收post.get的请求 Route::any('/admin/login','Admin\LoginController@login'); (2)LoginController.php 修改login方法,根据不同的请求返回不同的内容 如果请求方法为get ,返回登陆页面:如果请求为post,就行验证 use Illuminate\Support\Facades\Input; public fun
-
切记ajax中要带上AntiForgeryToken防止CSRF攻击
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可. Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和 input 中. 我们在ajax post中也带上AntiForgeryToken @model WebApplication1.Controllers.Person @{ ViewBag.Title = "In
-
Yii框架防止sql注入,xss攻击与csrf攻击的方法
本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法.分享给大家供大家参考,具体如下: PHP中常用到的方法有: /* 防sql注入,xss攻击 (1)*/ function actionClean($str) { $str=trim($str); $str=strip_tags($str); $str=stripslashes($str); $str=addslashes($str); $str=rawurldecode($str); $str=quotemeta($str)
-
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记.细心总结文章,里面有些是我们phper不易发现或者说不重视的东西.所以笔者写下来方便以后查阅.在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围.但是作为一个phper对于安全知识是:"知道有这么一回事,编程时自然有所注意". 目录: 1.php一些安全配置(1)关闭php提示错误功能(2)关闭一些"坏
-
启用Csrf后POST数据时出现的400错误
最近一直出现这样的错误,一直在查找原因,偶然看到一篇解决的文章,分享给大家看看. 第一种解决办法是关闭Csrf public function init(){ $this->enableCsrfValidation = false; } 第二种解决办法是在form表单中加入隐藏域 <input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app->
-
vue-resource post数据时碰到Django csrf问题的解决
公司最近用vue写前端,用vue-resource遇到的一些问题,现在记录下来. vue-resource post数据 this.$http.post('/someUrl',data, [options]).then(function(response){ // 响应成功回调 }, function(response){ // 响应错误回调 }); vue-resource 向后端请求api, 公司的后台是用Django 开发的,Django为了防止跨站请求伪造,即csrf攻击,提供了Csrf
-
PHP利用缓存处理用户注册时的邮箱验证,成功后用户数据存入数据库操作示例
本文实例讲述了PHP利用缓存处理用户注册时的邮箱验证,成功后用户数据存入数据库.分享给大家供大家参考,具体如下: <?php header("content-type:text/html;charset=utf-8"); @$atc=$_GET['atc']; $mem=new Memcache(); $mem->connect("127.0.0.1","11211"); if($atc=="in"){ $res=
-
BootstrapTable请求数据时设置超时(timeout)的方法
使用bootstrapTable获取数据时,有时由于网络或者服务器的原因,无法及时获取到数据,页面显示一直处于等待状态.为了改善效果,考虑设置超时,请求发送后超时即显示无数据,过段时间重新发起请求. 实现上,bootstrapTable通过ajax获取数据,可以使用ajaxOptions选项设置ajax的一些属性. bootstrapTable要设置timeout,首先要将async属性设置为true,在bootstrapTable中async默认是false的.例如 $("#event_tab
-
使用MySQL MySqldump命令导出数据时的注意事项
今天使用mysqldump命令备份数据的时候出现了一个问题. 一开始迁移 Discuz 7 论坛的 mysql 数据库时,采用 mysqldump 命令的时候一切顺利,但导入的时候却遇到了 ERROR 1062 (xxxxx) at line 1262: Duplicate entry 'XXX' for key 'XXX' 错误,并停在原地. 对于遇到相同错误的朋友千万别第一时间就尝试用 –force 参数强行导入(除非你原来的数据库已经崩溃).因为这样做的话,即使导入了,也会有一大片数据丢
-
SQL Server导入导出数据时最常见的一个错误解决方法
现在建站主要使用的还是ASP与PHP,这两种语言一般使用的数据库分别为SQL Server和mysql,这两种数据库各有各长处,也说不上谁好谁坏,看个人习惯了. SQL Server 导入和导出向导的作用是将数据从源复制到目标.该向导还可以为您创建目标数据库和目标表.但是,如果必须复制多个数据库或表,或者必须复制其他类型的数据库对象,则应改用复制数据库向导. 在数据库导入导出时总失败,错误信息如下: 复制代码 代码如下: 正在验证 (错误) 消息 错误 0xc0202049: 数据流任务 1:
-
jQuery Ajax 加载数据时异步显示加载动画
ajax加载后台数据就不说的那么细了. 看下面代码首先前台上放置代码 <div id="loadgif" style="width:66px;height:66px;position:absolute;top:50%;left:50%;"> <img alt="加载中..." src="../../Images/loading1.gif"/> </div> 在js脚本文件中首先把这个图片动画
-
jQuery Easyui学习教程之实现datagrid在没有数据时显示相关提示内容
本示例实现easyui datagrid加载/查询数据时,如果没有相关记录,则在datagrid中显示没有相关记录的提示信息,效果如下图所示 本实例要实现如下图所示的效果: 本示例easyui版本为1.3.4,如果运行后没有效果,自己检查easyui版本 不同版本对appendRow和mergeCells支持不一样,参数不一致什么的. 无法隐藏分页导航容器,可以用chrome开发工具或者firebug查看分页导航容器的样式和原始datagrid table表格的关系. 源代码如下 $(funct
-
浅谈vue单一组件下动态修改数据时的全部重渲染
今天在学习vue的过程中,发现一个有趣的现象. 在某一组件下的某一数据通过点击事件被动态修改的时候,对应view中的数据同步的进行了修改,没错,这不是废话吗,vue的一大特色就是数据的双向绑定.可有趣的是,该组件下我写的另一个用Math.random()的data值对应的值和视图也发生了变化 这就让我这个刚入门的小白有点奇怪了,我修改一个,怎么变了两个????脑洞放开一想,会不会数据在双向同步的时候,发生了什么,比如.是不是只要有一个节点变了,node都重新进行了加载??? 我想这其中的缘由必定
-
Java版数据结构插入数据时遇到的结点为空的问题详解
在演示Java版数据结构与算法教材中的头插法代码时遇到了空结点问题 . 先上代码. 链表类 import java.util.Scanner; public class ListLinked<T> { ListLinkedNode<Integer> head=new ListLinkedNode<Integer>();//声明头结点 //添加结点 public void addFromHead(int e){ ListLinkedNode<Integer>
随机推荐
- Mootools 1.2教程 类(一)
- 使用Huagepage和PGO来提升PHP7的执行性能
- javascript引用类型指针的工作方式
- Js 导出table内容到Excel的简单实例
- javascript HTML5 canvas实现打砖块游戏
- python中实现延时回调普通函数示例代码
- Android使用自定义View绘制渐隐渐现动画
- Android 中RxPermissions 的使用方法详解
- 设置MySQL中的数据类型来优化运行速度的实例
- Android IPC机制利用Messenger实现跨进程通信
- 全面总结Javascript对数组对象的各种操作
- asp 获取access系统表,查询等操作代码
- mysql 左连接、右连接和内连接
- Bootstrap路径导航与分页学习使用
- 精妙的SQL语句
- C#使用自带的email组件发送邮件的方法
- jQuery点击弹出层弹出模态框点击模态框消失代码分享
- Android录音播放管理工具
- js中Image对象以及对其预加载处理示例
- JS中Select下拉列表类(支持输入模糊查询)功能