1
关于csrf的原理和在yii2内的运行建议先看之前发的一篇文 https://nai8.me/article/383

本篇我们要做一个事情,就是在同一个yii2应用中,某个action使用curl模拟表单提交到另一个action,但是你我都知道在yii2内如果发送post请求,需要经过csrf验证,那么使用curl模拟的时候如何通过csrf那?我们来实现。

模拟POST

在这里我使用yii2官方的http客户端扩展,模拟一个post请求很简单,如下代码。

$client = new Client([
    'transport' => 'yii\httpclient\CurlTransport',
]);

$response = $client->createRequest()
    ->setMethod('POST')
    ->setUrl('https://xxx.com/demo/csrf-post.html')
    ->setData([
        'username'=>'abei2017',
        '_csrf'=>Yii::$app->request->getCsrfToken()
    ])->send();

echo $response->getContent();

以上使我们最先想到的,提交一组数据到某个url,但是这样并不能得到预想的结果。

图片描述

原因

之所以被yii2的csrf拦截,主要是因为使用curl模拟POST请求的时候没有奖cookie中的 _csrf 也一起发送给服务器端。这个cookie值将用于csrf的具体验证工作,那就简单了。

$client = new Client([
    'transport' => 'yii\httpclient\CurlTransport',
]);

$response = $client->createRequest()
    ->setMethod('POST')
    ->setUrl('https://xxx.com/demo/csrf-post.html')
    ->setCookies([
        ['name' => '_csrf', 'value' => urlencode($_COOKIE['_csrf'])],
    ])
    ->setData([
        'username'=>'abei2017',
        '_csrf'=>Yii::$app->request->getCsrfToken()
    ])->send();

echo $response->getContent();

ok,之所以没有使用yii2内置的cookie功能,主要是因为yii2在设置cookie的时候默认是进行加密的,而获取时候会自动解密。

如果使用yii2内置cookie组件获取,则获取是解密后的,再用来模拟就会出问题,我们需要使用curl发送一个经过加密的cookie。

当然如果你也可以配置yii2文件将cookie的加密解密去掉。

大功告成。


阿北
4.1k 声望913 粉丝

引用和评论

0 条评论