解决POST数据时因启用Csrf出现的400错误 - 教程

qq3737002 2015-06-29 10:44:38 43072次浏览 10条评论 35 18 0

第一种解决办法是关闭Csrf

public function init(){
    $this->enableCsrfValidation = false;
}

第二种解决办法是在form表单中加入隐藏域

<input name="_csrf" type="hidden" id="_csrf" value="<?= Yii::$app->request->csrfToken ?>">

第三种解决办法是在AJAX中加入_csrf字段

var csrfToken = $('meta[name="csrf-token"]').attr("content");
$.ajax({
  type: 'POST',
  url: url,
  data: {_csrf:csrfToken},
  success: success,
  dataType: dataType
});

觉得很赞

刘阿勇评论于 2015-06-30 10:55 举报

哦哦，也就是说只要开启了crsf验证的话，就得在前台页面上有一个类似这样的表单数据提交给后台，YII会进行匹配

<input type="hidden" value="dWl3LW1IbU0cHA14VHwufCQvTmk9flV1REREZQUwFDomMRpDCTEhYA==" name="_csrf">

能不能说下，Yii这个匹配的过程，Yii::$app->request->csrfToken 这个值存储在哪里的，怎么匹配的？

共 3 条回复

qq3737002 评论于 2015-06-30 11:15 回复

存储位置

    protected function createCsrfCookie($token)
    {
        $options = $this->csrfCookie;
        $options['name'] = $this->csrfParam;
        $options['value'] = $token;
        return new Cookie($options);
    }

校验方法

    public function validateCsrfToken($token = null)
    {
        $method = $this->getMethod();
        // only validate CSRF token on non-"safe" methods http://www.w3.org/Protocols/rfc2616/rfc2616-sec9.html#sec9.1.1
        if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
            return true;
        }

        $trueToken = $this->loadCsrfToken();

        if ($token !== null) {
            return $this->validateCsrfTokenInternal($token, $trueToken);
        } else {
            return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
                || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
        }
    }

xyf90314 评论于 2017-06-05 16:00 回复

如果第二种如果有很多输入框那是不是要写很多个隐藏域？？累死

qq3737002 评论于 2017-06-22 18:02 回复

@xyf90314 一个表单一个

小明同学 , 13854157321 觉得很赞

jueze 评论于 2016-03-05 09:54 举报

Yii::$app->request->csrfToken 产生新的cookie csrf，那从前台传到后台它是怎么个验证流程，能跟我讲讲原理么？

回复 0 0
一人在行走评论于 2016-10-16 12:07 举报

我按照上述操作post 加了csrfToke，ajax还是报400错误

PPS板砖觉得很赞

回复 1 0
一人在行走评论于 2016-10-17 12:44 举报

需要在header中设置X-CSRF-Token

共 3 条回复

tianmin 评论于 2016-11-03 16:19 回复

我也按照你们的方法都试了还是不行但是我又不想关csrf

一人在行走评论于 2016-11-05 15:18 回复

你确定你写对了

qq3737002 评论于 2016-11-06 13:50 回复

@一人在行走一直在用

一人在行走觉得很赞

回复 1 0
yn_lianzi 评论于 2017-02-22 15:27 举报

非常感谢楼主的帖子，我正好遇到这个问题，一直不知道什么原因。看到之后明白了！万分感谢，为了给您点赞回复，专门注册了一个账号！再次表示感谢

回复 0 0
alvin_cn 评论于 2017-09-07 16:33 举报

已经试过禁用csrf,但还是报404是为什么呢?

共 1 条回复

Dengyihao 评论于 2017-10-12 10:25 回复

页面未找到跳转错误了吧

回复 0 0
阿毛1021 评论于 2017-10-13 16:21 举报

刚看到楼主的帖子，使用第二种方法，刚开始试是不行的，需要将input标签的name值设置成跟APP的request组件的csrfParam值一样才能起作用

qingchen , 风雪飘飘 , wakasann , 有灰机觉得很赞

回复 4 0
我真是路痴评论于 2017-10-20 10:12 举报

眼一下......

回复 0 0
Potti 评论于 2018-08-07 17:34 举报

很难受，这个问题困扰了很久。第三个方法是最开始用的，但是没起作用，不知道什么原因。
最终用第一个方法解决了。在控制器里定义 $enableCsrfValidation=false。

共 1 条回复

niaoer 评论于 2018-08-24 16:53 回复

你可以看看是不是你的配置里修改了 request 组件中的 csrfParam 的名称

回复 0 0
shane 评论于 2018-12-13 16:04 举报

后面两种方法具体实现可参考Yii.js文件

回复 0 0