3

我在 Codeigniter 中使用 Ion Auth 身份验证库。当我加载页脚视图时,我收到一个 CSRF 错误(此表单帖子未通过我们的安全检查)。当我删除页脚视图时,它工作正常!我在这里做错了什么吗?谢谢!

function edit_user($id) {

//I'm only posting the last part of the code of edit_user function in the auth controller

    $this->load->view('layout/header');
    $this->_render_page('auth/edit_user', $this->data);
    $this->load->view('layout/footer'); // I'm getting an error when I load this footer view.
}

这是我认为的代码。

<h1><?php echo lang('edit_user_heading');?></h1>
<p><?php echo lang('edit_user_subheading');?></p>

<div id="infoMessage"><?php echo $message;?></div>

<?php echo form_open(uri_string());?>

      <p>
            <?php echo lang('edit_user_fname_label', 'first_name');?> <br />
            <?php echo form_input($first_name);?>
      </p>

      <p>
            <?php echo lang('edit_user_lname_label', 'last_name');?> <br />
            <?php echo form_input($last_name);?>
      </p>

      <p>
            <?php echo lang('edit_user_company_label', 'company');?> <br />
            <?php echo form_input($company);?>
      </p>

      <p>
            <?php echo lang('edit_user_phone_label', 'phone');?> <br />
            <?php echo form_input($phone);?>
      </p>

      <p>
            <?php echo lang('edit_user_password_label', 'password');?> <br />
            <?php echo form_input($password);?>
      </p>

      <p>
            <?php echo lang('edit_user_password_confirm_label', 'password_confirm');?><br />
            <?php echo form_input($password_confirm);?>
      </p>

     <h3><?php echo lang('edit_user_groups_heading');?></h3>
    <?php foreach ($groups as $group):?>
    <label class="checkbox">
    <?php
        $gID=$group['id'];
        $checked = null;
        $item = null;
        foreach($currentGroups as $grp) {
            if ($gID == $grp->id) {
                $checked= ' checked="checked"';
            break;
            }
        }
    ?>
    <input type="checkbox" name="groups[]" value="<?php echo $group['id'];?>"<?php echo $checked;?>>
    <?php echo $group['name'];?>
    </label>
    <?php endforeach?>

      <?php echo form_hidden('id', $user->id);?>
      <?php echo form_hidden($csrf); ?>

      <p><?php echo form_submit('submit', lang('edit_user_submit_btn'));?></p>

<?php echo form_close();?>
4

3 回答 3

9

Ion auth csrf 保护较旧。CI-2 已经有

这是在发布表单时提供的安全性,例如:POST 来自本地还是服务器?

ion auth 控制器文件,您会看到如下代码:

// do we have a valid request?
if ($this->_valid_csrf_nonce() === FALSE)
{
   show_error($this->lang->line('error_csrf'));
}

如果您删除这些验证,您将不会收到 csrf 错误

您可以使用 CI 核心库启用安全性

http://ellislab.com/codeigniter/user-guide/libraries/security.html

$config['csrf_protection'] = TRUE;

您必须使用 form_open() 标签来触发 csrf 保护。

于 2013-07-20T06:49:41.827 回答
2

当我尝试添加到页面时,同样的问题发生在common/header我身上common/footerauth/reset_password

问题是我正在使用页脚部分中包含的 JS 的相对路径。经过大量实验使用base_url()修复的问题。

于 2014-06-03T10:16:21.247 回答
-1

我有销售 pb 但用 userdata 替换 flashdata,它的安全性稍差一些,但它是一个很好的解决方案。

于 2013-07-31T20:49:25.430 回答