脚本宝典收集整理的这篇文章主要介绍了php – 设置配置项(csrf)在Codeigniter中不起作用,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
function __construct() { parent::__construct(); $this->load->library('form_validation'); $this->load->library('tank_auth'); $this->load->helper(array('form','url')); $this->load->model('user_model','',true); $this->config->set_item('csrf_protection',TRUE); }
但它似乎不起作用,虽然当我在页面上执行var_dump($this-> config)时它显示csrf_protection为TRUE,但是没有设置cookie并且表单有一个没有值的隐藏字段
< input type =“hidden”name =“ci_csrf_token”value =“”/>
Csrf令牌名称和cookie名称都已设置,表单使用form_open()调用.
任何帮助将非常感激.
更新:所以这不可能从版本2.1.1开始,因为安全类构造中的行if(config_item(‘csrf_protection’)=== TRUE){
安全类在控制器之前初始化,因此控制器中配置项更改的自然不会影响它.
<?PHP if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' ); class MY_Security extends CI_Security { public function csrf_verify( ) { foreach ( config_item('csrf_excludes') as $exclude ) { $uri = load_class('URI','core'); if ( preg_match( $exclude,$uri->uri_string() ) > 0 ) { // still do input filtering to prevent parameter piggybacking in the form if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS',$_COOKIE[$this->_csrf_cookie_name] ) == 0) { unset( $_COOKIE[$this->_csrf_cookie_name] ); } return; } } parent::csrf_verify( ); } }
这将检查以下排除您需要在CSRF部分中的application / config.PHP中放入的内容:
$config['csrf_excludes'] = array ( '@^/?excluded_url_1/?@i','@^/?excluded_url_2/?@i' );
每个匹配的URL模式都将从CSRF检查中排除.你可以在http://rubular.com这里建立正则表达式
干杯
以上是脚本宝典为你收集整理的php – 设置配置项(csrf)在Codeigniter中不起作用全部内容,希望文章能够帮你解决php – 设置配置项(csrf)在Codeigniter中不起作用所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。