什么是Yii2框架的csrf驗(yàn)證原理分析及token緩存解決方案?很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。
網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了沙縣免費(fèi)建站歡迎大家使用!
本文主要分三個部分,首先簡單介紹csrf,接著對照源碼重點(diǎn)分析一下yii框架的驗(yàn)證原理,最后針對頁面緩存導(dǎo)致的token被緩存提出一種可行的方案。涉及的知識點(diǎn)會作為附錄附于文末。感興趣的朋友了解一下吧。
1.CSRF描述
CSRF全稱為“Cross-Site Request Forgery”,是在用戶合法的SESSION內(nèi)發(fā)起的攻擊。黑客通過在網(wǎng)頁中嵌入Web惡意請求代碼,并誘使受害者訪問該頁面,當(dāng)頁面被訪問后,請求在受害者不知情的情況下以受害者的合法身份發(fā)起,并執(zhí)行黑客所期待的動作。以下HTML代碼提供了一個“刪除產(chǎn)品”的功能:
<a href="http://www.shop.com/delProducts.php?id=100" "javascript:return confirm('Are you sure?')">Delete</a>
假設(shè)程序員在后臺沒有對該“刪除產(chǎn)品”請求做相應(yīng)的合法性驗(yàn)證,只要用戶訪問了該鏈接,相應(yīng)的產(chǎn)品即被刪除,那么黑客可通過欺騙受害者訪問帶有以下惡意代碼的網(wǎng)頁,即可在受害者不知情的情況下刪除相應(yīng)的產(chǎn)品。
2.yii的csrf驗(yàn)證原理 /vendor/yiisoft/yii2/web/Request.php簡寫為Request.php
/vendor/yiisoft/yii2/web/Controller.php簡寫為Controller.php
開啟csrf驗(yàn)證
在控制器里將enableCsrfValidation為true,則控制器內(nèi)所有操作都會開啟驗(yàn)證,通常做法是將enableCsrfValidation為false,而將一些敏感操作設(shè)為true,開啟局部驗(yàn)證。
public $enableCsrfValidation = false; /** * @param \yii\base\Action $action * @return bool * @desc: 局部開啟csrf驗(yàn)證(重要的表單提交必須加入驗(yàn)證,加入$accessActions即可 */ public function beforeAction($action){ $currentAction = $action->id; $accessActions = ['vote','like','delete','download']; if(in_array($currentAction,$accessActions)) { $action->controller->enableCsrfValidation = true; } parent::beforeAction($action); return true; }
生成token字段
在Request.php
首先通過安全組件Security獲取一個32位的隨機(jī)字符串,并存入cookie或session,這是原生的token.
/** * Generates an unmasked random token used to perform CSRF validation. * @return string the random token for CSRF validation. */ protected function generateCsrfToken() { $token = Yii::$app->getSecurity()->generateRandomString(); if ($this->enableCsrfCookie) { $cookie = $this->createCsrfCookie($token); Yii::$app->getResponse()->getCookies()->add($cookie); } else { Yii::$app->getSession()->set($this->csrfParam, $token); } return $token; }
接著通過一系列加密替換操作,生成加密后_csrfToken,這個是傳給瀏覽器的token. 先隨機(jī)產(chǎn)生CSRF_MASK_LENGTH(Yii2里默認(rèn)是8位)長度的字符串 mask
對mask和token進(jìn)行如下運(yùn)算 str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2)
是一個先補(bǔ)位異或運(yùn)算
/** * Returns the XOR result of two strings. * If the two strings are of different lengths, the shorter one will be padded to the length of the longer one. * @param string $token1 * @param string $token2 * @return string the XOR result */ private function xorTokens($token1, $token2) { $n1 = StringHelper::byteLength($token1); $n2 = StringHelper::byteLength($token2); if ($n1 > $n2) { $token2 = str_pad($token2, $n1, $token2); } elseif ($n1 < $n2) { $token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1); } return $token1 ^ $token2; } public function getCsrfToken($regenerate = false) { if ($this->_csrfToken === null || $regenerate) { if ($regenerate || ($token = $this->loadCsrfToken()) === null) { $token = $this->generateCsrfToken(); } // the mask doesn't need to be very random $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.'; $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH); // The + sign may be decoded as blank space later, which will fail the validation $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); } return $this->_csrfToken; }
驗(yàn)證token
在controller.php里調(diào)用request.php里的validateCsrfToken方法
/** * @inheritdoc */ public function beforeAction($action) { if (parent::beforeAction($action)) { if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) { throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.')); } return true; } return false; } public function validateCsrfToken($token = null) { $method = $this->getMethod(); if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) { return true; } $trueToken = $this->loadCsrfToken();//如果開啟了enableCsrfCookie,CsrfToken就從cookie里取,否者從session里取(更安全) if ($token !== null) { return $this->validateCsrfTokenInternal($token, $trueToken); } else { return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken) || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken); } }
獲取客戶端傳入
$this->getBodyParam($this->csrfParam)
然后是validateCsrfTokenInternal
private function validateCsrfTokenInternal($token, $trueToken) { if (!is_string($token)) { return false; } $token = base64_decode(str_replace('.', '+', $token)); $n = StringHelper::byteLength($token); if ($n <= static::CSRF_MASK_LENGTH) { return false; } $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH); $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH); $token = $this->xorTokens($mask, $token); return $token === $trueToken; }
加密時用的是 str_replace('+', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask)));
解密 1.首先要把.替換成+ 2.然后base64_decode 再 根據(jù)長度分別取出mask和mask和this->xorTokens(token,token,mask) ; 為了說明方便 this?>xorTokens(this?>xorTokens(token, $mask) 這里稱作 token1 然后 進(jìn)行mask和token1的異或運(yùn)算,即得token 注意在加密時
token1=token^mask
所以 解密時
token=mask^token1=mask^(token^mask)
3.token緩存的解決方案
當(dāng)頁面整體被緩存后,token也被緩存導(dǎo)致驗(yàn)證失敗,一種常見的解決思路是每次提交前重新獲取token,這樣就可以通過驗(yàn)證了。
附錄:
str_pad()
,該函數(shù)返回 input 被從左端、右端或者同時兩端被填充到制定長度后的結(jié)果。如果可選的 pad_string 參數(shù)沒有被指定,input 將被空格字符填充,否則它將被 pad_string 填充到指定長度;
str_shuffle()
函數(shù)打亂一個字符串,使用任何一種可能的排序方案。
因?yàn)閥ii2 csrf的驗(yàn)證的加解密 涉及到異或運(yùn)算
所以需要先補(bǔ)充php里字符串異或運(yùn)算的相關(guān)知識,不需要的可以跳過
^異或運(yùn)算 不一樣返回1 否者返回 0 在PHP語言中,經(jīng)常用來做加密的運(yùn)算,解密也直接用^就行 字符串運(yùn)算時 利用字符的ascii碼轉(zhuǎn)換為2進(jìn)制來運(yùn)算 單個字符運(yùn)算
1.對于單個字符和單個字符的 直接計算其結(jié)果即可 比如表里的a^b
2.對于長度一樣的多個字符串 如表里的ab^cd 計算a^c對應(yīng)的結(jié)果和和b^d對應(yīng)的結(jié)果 對應(yīng)的字符連接起來
看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝您對創(chuàng)新互聯(lián)的支持。
當(dāng)前題目:什么是Yii2框架的csrf驗(yàn)證原理分析及token緩存解決方案
地址分享:http://bm7419.com/article8/jjdgip.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)網(wǎng)站制作、建站公司、網(wǎng)站內(nèi)鏈、小程序開發(fā)、做網(wǎng)站、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)