yii2对csrf攻击的防范措施

不言

发布时间：2018-07-10 15:06:36

2236人浏览过

来源于php中文网

原创

这篇文章主要介绍了关于yii2对csrf攻击的防范措施，有着一定的参考价值，现在分享给大家，有需要的朋友可以参考一下

今天北哥就给大家普及下csrf是啥？如果你已经知道了可以直接拉文章到底部点个赞。

CSRF（Cross-site request forgery跨站请求伪造）是一种对网站的恶意利用，在 2007 年曾被列为互联网 20 大安全隐患之一。

关于CSRF，要从一个故事开始~

老王丢钱事件

这个故事要从程序员老王丢了1万块钱说起，总之是进了小偷，找回无果。丢钱后的老王一直在思考，钱是怎么丢的、为何丢钱、为何是我丢钱~~

后来老王出现了严重的心理问题，他决定报复社会。

老王首先研究了网银系统，他发现转账是通过GET形式

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=abei

这意思就是说将 liuxiaoer 的1000元钱转给abei，当然当请求到达银行服务器后，程序会验证该请求是否来自合法的session并且该session的用户就是 liuxiaoer 并且已经登录。

老王自己也有一个银行账号 wang2，他尝试登录并且通过浏览器发送请求给银行，代码如下

https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2

失败了~因为当前登录账号是老王自己，发送请求后服务器发现session所属用户wang2和account=liuxiaoer并不是一个人，因此被拒绝。

也就是说这个操作必须是 liuxiaoer 自己才可以，复仇的力量是可怕的，老王通过facebook层层找到了 liuxiaoer 就是快递员老刘的银行账号。

于是一个伟大的计划诞生了，老王的计划是这样的。

1、首先做一个网页，在网页中加入如下代码

src="https://bank.abc.com/withdraw?account=liuxiaoer&amount=1000&to=wang2"

然后通过各种情景让老刘（liuxiaoer）访问了此网页。

2、当老刘（liuxiaoer）访问此网页后，上面的请求会被发送到银行，此刻还会带着老刘（liuxiaoer）自己的浏览器cookie信息，当然这样一般也不会成功，因为银行服务器发现老刘（liuxiaoer）并不在登录状态。

3、老王想了一个招，他在淘宝找了一个灰色商人老李，让他通过种种方法，总之让老刘（liuxiaoer）通过浏览器给老李转了一次款。

4、就在第三步操作的2分钟内，老王成功让老刘（liuxiaoer）再一次访问了自己做的网页，你知道的，此刻老刘（liuxiaoer）在银行的session还没有过期，老王网页给银行服务器发送请求后，验证通过，打款成功。

5、老王收到了款，老刘（liuxiaoer）并不知道这一切，对于银行来说这是一笔在正常不过的转账。

这就是CSRF攻击，浏览器无法拦截。

CSRF攻击特点

基于上面血淋淋的故事，我们总结下CSRF攻击的几个特点。

黑客借助于受害者的cookie等浏览器信息骗取服务器新人，黑客并拿不到cookie等。
由于浏览器同源策略，黑客无法拿到攻击的响应结果，能做的只是发起请求，你是否还记得很多钓鱼网站都模拟了登录框么？
CSRF攻击主要是发送修改数据请求。

CSRF防御对象

因此我们要保护的是所有能引起数据变化的客户端请求，比如新建、更新和删除。

CSRF防御方案

基于CSRF攻击特点，在业界目前防御 CSRF 攻击主要有三种策略：

验证 HTTP Referer 字段；
在请求地址中添加 token 并验证；
在 HTTP 头中自定义属性并验证。

HEEP Referer

在http请求的时候，头部有一个叫做Referer的字段，该字段记录本次请求的来源地址。因此服务器端可以通过此字段是否为同一个域名来判断请求是否合法，因为客户自己做的网页发起的请求，其Referer为黑客网站。

免费语音克隆

这是一个提供免费语音克隆服务的平台，用户只需上传或录制一段 5 秒以上的清晰语音样本，平台即可生成与用户声音高度一致的 AI 语音克隆。

下载

这种方法最简单，并且不需要修改业务代码，我们只需要对到达服务器的每个请求做一次拦截分析即可。

但是此方法的缺点也是明显的，因为Referer的值是浏览器的，虽然HTTP协议不允许去修改，但是如果浏览器自身存在漏洞，那么就有可能导致Referer被人工设置，不安全。

比如IE6，就可以通过方法篡改Referer值。

就算是最新的浏览器此方法也不是绝对可用的，这涉及了用户的隐私，很多用户会设置浏览器不提供Referer，因此服务器在得不到Referer的情况下不能贸然的决绝服务，有可能这是一个合法请求。

添加Token

CSRF攻击之所以能成功，是因为黑客完全伪造了一次用户的正常请求（这也是浏览器无法拦截的原因），并且cookie信息就是用户自己的，那么我们如果在请求中放入一些黑客无法去伪造的信息（不存在与cookie中），不就可以抵御了么！

比如在请求前生成一个token放到session中，当请求发生时，将token从session拿出来和请求提交过来的token进行对比，如果相等则认证通过，否则拒绝。token时刻在变化，黑客无法去伪造。

针对于不同类型的请求一般方案是

GET 放到url中，比如http://url?csrftoken=xxxx
POST 放到表单的隐藏域

对于GET请求，这里有一点要说明，在一个网站中请求的url很多，一般情况我们是通过js对dom的所有节点进行遍历，发现a链接就在其href中增加token。

这里存在一个问题，比如黑客将自己网站的链接发到了要攻击页面，则黑客网站链接后面会有一个token，此刻客户可以通过编写自己网站代码得到这个token，然后用这个token立刻构造表单，发起CSRF攻击，因此在js遍历的时候，如果发现不是本站的链接，可以不加token。

在HTTP头部增加属性

这个方法在思路上和上面的token方式一样，只不过将token放到了HTTP头部中，不再参数传递，通过XMLHttpRequest类可以一次性的给所有请求加上csrftoken这个HTTP头属性并设置值。

这种方法适合上面批量添加token不方便的情况，一次性操作，不过局限性也比较大，XMLHttpRequest请求通常用在ajax方法中，并非所有请求都适合。

Yii2

首先要说的是每种CSRF防范措施都有其弊端，无论你的防范多么严密，黑客拥有更多的攻击手段，因此在重要逻辑上（必须写入和删除）必须非常小心，接下来我们把yii2框架在csrf上的部署说一下。

我们以yii2.0.14为解说版本。

在CSRF这块，yii2框架采取了HTTP头部和参数token并行的方式，针对于每个请求，在beforeAction都会做一次判断，如下

// vendor/yiisoft/yii2/web/Controller.php
public function beforeAction($action) {
    
    if (parent::beforeAction($action)) {
        if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
            throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
        }

        return true;
    }

    return false;
}

如果我们没有设置 enableCsrfValidation 为false，并且没有报错，则会进行csrf验证，核心方法就是

Yii::$app->getRequest()->validateCsrfToken()

该方法存在于 vendor/yiisoft/yii2/web/Request.php 中，我们看一看它。

public function validateCsrfToken($clientSuppliedToken = null) {
    // 省略上面代码
    return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
        || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
}

validateCsrfToken函数代码我们只需要看最后的返回，getBodyParam或getCsrfTokenFromHeader方法得到的token，只要有一种验证通过，就认为合法。

以上是整体的思路，为了让你看的更清晰，我画一个图并增加一些名词解释。

1094681196-5b160d074ca04_articlex[1].png

以上是yii2的csrf策略部署，当然我还是推荐你使用 xdebug等调试工具一步一步看看这个过程。

最后我在把上图的关键函数进行说明

generateCsrfToken() 该函数生成token并存到cookie或session中，该值不会随页面刷新而变化，它更多充当钥匙的作用，根绝它生成具体的csrfToken。
getCsrfToken() 生成具体的csrfToken，就是你在表单隐藏域中看到的那个值，这个值将来会传到服务器和真实的csrfToken进行对比，验证是否合法。
validateCsrfToken() 进行合法性验证，该函数得到一个真实的csrfToken然后和客户端上传来的csrfToken进行对比。

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

相关专题

ajax教程

php中文网为大家带来ajax教程合集，Ajax是一种用于创建快速动态网页的技术。通过在后台与服务器进行少量数据交换，Ajax可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下，对网页的某部分进行更新。php中文网还为大家带来ajax的相关下载资源、相关课程以及相关文章等内容，供大家免费下载使用。

166

2023.06.14

ajax中文乱码解决方法

ajax中文乱码解决方法有设置请求头部的字符编码、在服务器端设置响应头部的字符编码和使用encodeURIComponent对中文进行编码。本专题为大家提供ajax中文乱码相关的文章、下载、课程内容，供大家免费下载体验。

170

2023.08.31

ajax传递中文乱码怎么办

ajax传递中文乱码的解决办法：1、设置统一的编码方式；2、服务器端编码；3、客户端解码；4、设置HTTP响应头；5、使用JSON格式。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

124

2023.11.15

ajax网站有哪些

使用ajax的网站有谷歌、维基百科、脸书、纽约时报、亚马逊、stackoverflow、twitter、hacker news、shopify和basecamp等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

257

2024.09.24

Cookie 是一种在用户计算机上存储小型文本文件的技术，用于在用户与网站进行交互时收集和存储有关用户的信息。当用户访问一个网站时，网站会将一个包含特定信息的 Cookie 文件发送到用户的浏览器，浏览器会将该 Cookie 存储在用户的计算机上。之后，当用户再次访问该网站时，浏览器会向服务器发送 Cookie，服务器可以根据 Cookie 中的信息来识别用户、跟踪用户行为等。

6500

2023.06.30

document.cookie获取不到怎么解决

document.cookie获取不到的解决办法：1、浏览器的隐私设置；2、Same-origin policy；3、HTTPOnly Cookie；4、JavaScript代码错误；5、Cookie不存在或过期等等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

368

2023.11.23

阻止所有cookie什么意思

阻止所有cookie意味着在浏览器中禁止接受和存储网站发送的cookie。阻止所有cookie可能会影响许多网站的使用体验，因为许多网站使用cookie来提供个性化服务、存储用户信息或跟踪用户行为。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

445

2024.02.23

cookie与session的区别

本专题整合了cookie与session的区别和使用方法等相关内容，阅读专题下面的文章了解更详细的内容。

2025.08.19

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

2026.03.11

热门下载

网站特效

网站源码

网站素材

前端模板