Yii2 關閉和打開csrf 驗證 防止表單多次重復提交

原文地址：http://blog.csdn.net/terry_water/article/details/52221007

 

1.在Yii2配置中配置所有：所有的controller都將關閉csrf驗證，如果設置成true，則將打開csrf驗證。

'request' => [

• 'enableCsrfValidation' => false,
• ],

 

 

2.在Yii2 controller中配置當前的controller添加變量，下面的設置將關閉csrf驗證。

public $enableCsrfValidation = false;

 

 

1.在Yii2配置中配置所有：所有的controller都將關閉csrf驗證，如果設置成true，則將打開csrf驗證。

'request' => [

• 'enableCsrfValidation' => false,
• ],

 

 

2.在Yii2 controller中配置當前的controller添加變量，下面的設置將關閉csrf驗證。

public $enableCsrfValidation = false;

 

 

上一節主要是簡單地說了一下關於yii2的防御csrf的攻擊機制，接下來說一下關於如何全局和局部的開啟使用csrf。
（1）全局使用，我們直接在配置文件中設置enableCookieValidation為true

request => [
    'enableCookieValidation' => true,
]

如果不需要使用csrf的話,設置'enableCookieValidation' => false,但是這是不安全的，因此yii2的yii\web\request中的enableCookieValidation默認設置為true的，也就是默認開啟csrf的，所以我們也可以不配置這個值，默認開啟。

如果開啟csrf，因為這是全局的，所以在任何的post請求都會要求認證，所以我們在post數據的時候，就必須設置csrf的數據隱藏在表單中。

<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">

post數據的時候必須要把這個值post過去，這個值的產生<?= Yii::$app->request->csrfToken ?>，返回一個加密后的csrfToken。

所以無論是post表單還是ajax的post過去，都必須設置csrfToken這個值，並且要提交時要post過去。如果沒有的話，就會發生錯誤，無法認證通過。

（2）如果想在某些控制器不想使用csrf驗證的話，又該如何做呢？
方法很簡單，直接設置

public $enableCsrfValidation = false ,

因為這個Controller繼承與yii\web\Controller ,將相當於繼承於enableCsrfValidation這個屬性，那么在創建控制器實例時，就會在這個控制器關閉csrf功能，訪問這個控制器的post的方式時，也就不會進行驗證。
舉一個例子，比如我們開發API的時候,微信那邊的接口需要post數據給我們的接口時，由於微信端不知道csrfToken,所以訪問post數據的時候，如果開啟全局csrf的話，那肯定不能訪問成功的。所以這時就需要關閉這個API 的csrf。

3）如果要具體關閉至某一個action呢？
有時在一些功能中，我們需要在某一個action中關閉csrf驗證。我們知道對於csrf的驗證是在beforeAction($Action)中實現的，下面我們可以在Controller中重寫beforeAction($action)這個方法

public function beforeAction($action) {

    $currentaction = $action->id;

    $novalidactions = ['dologin'];

    if(in_array($currentaction,$novalidactions)) {

        $action->controller->enableCsrfValidation = false;
    }
    parent::beforeAction($action);

    return true;
}

傳入的參數$action是controller針對這個訪問實例化的對象，里面包含很多信息，大家可以打印看看。
首先執行$action->id獲取當前的訪問的action名稱。而$novalidactions是一個數組，里面是action名稱，這些action都是是你需要關閉csrf的認證的操作（需要關閉csrf認證的操作）。
通過當前的訪問的action是否在這個$novalidactions中，如果在，說明這個action需要關閉csrf功能,所以就將這個控制器實例的設置為

$action->controller->enableCsrfValidation = false
接下來再執行parent::beforeAction($action)，此時傳入來的$action里的controller實例的enableCsrfValidation已變為false。
最后一定要返回true，否則的話，不會往下執行action操作的。

（4）如果局部開啟呢？
首先在配置文件要設置
request => [
'enableCookieValidation' => false,
]
全局不使用csrf。

(a)要在控制器中開啟，只需要設置
public $enableCsrfValidation = true
則整個控制器都會開啟

(b)要在action中開啟
public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
              $action->controller->enableCsrfValidation = true;
  }

        parent::beforeAction($action);
        return true;
}
$accessactions是需要開啟csrf的action的名稱，將設置$action->controller->enableCsrfValidation = true,當前操作可以開啟csrf。