php - 设置配置项（csrf）在 Codeigniter 中不起作用

Question

我只想在我的几个控制器中打开 csrf 保护，所以我有

function __construct() {

    parent::__construct();
    $this->load->library('form_validation');        
    $this->load->library('tank_auth');
    $this->load->helper(array('form', 'url'));
    $this->load->model('user_model', '', true);

    $this->config->set_item('csrf_protection', TRUE);

}

但这似乎不起作用，尽管当我在页面上执行 var_dump($this->config) 时，它显示 csrf_protection 为 TRUE，但未设置 cookie，并且表单有一个没有值的隐藏字段

<input type="hidden" name="ci_csrf_token" value="" />

Csrf 令牌名称和 cookie 名称均已设置，使用 form_open() 调用表单。

任何帮助将非常感激。

更新：所以这在 2.1.1 版本中是不可能的，因为安全类构造中的行if (config_item('csrf_protection') === TRUE) {

安全类在控制器之前初始化，因此控制器中的配置项更改自然不会影响它。

score 5 · Accepted Answer

我有一个解决方案给你。创建一个自定义 application/core/MY_Security.php 并将其放入其中：

<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );

class MY_Security extends CI_Security
{
    public function csrf_verify( )
    {
        foreach ( config_item('csrf_excludes') as $exclude )
        {
            $uri = load_class('URI', 'core');
            if ( preg_match( $exclude, $uri->uri_string() ) > 0 )
            {
                // still do input filtering to prevent parameter piggybacking in the form
                if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name] ) == 0)
                {
                    unset( $_COOKIE[$this->_csrf_cookie_name] );
                }
                return;
            }
        }
        parent::csrf_verify( );
    }
}

这将检查您需要在 CSRF 部分中的 application/config.php 中添加的以下排除项：

$config['csrf_excludes'] = array
    ( '@^/?excluded_url_1/?@i'
    , '@^/?excluded_url_2/?@i' );

每个匹配的 URL 模式都将从 CSRF 检查中排除。您可以在http://rubular.com上构建正则表达式

干杯

php - 设置配置项（csrf）在 Codeigniter 中不起作用

1 回答 1

Related

Reference