关于csrf的原理和在yii2内的运行建议先看之前发的一篇文 https://nai8.me/article/383
本篇我们要做一个事情,就是在同一个yii2应用中,某个action使用curl模拟表单提交到另一个action,但是你我都知道在yii2内如果发送post请求,需要经过csrf验证,那么使用curl模拟的时候如何通过csrf那?我们来实现。
模拟POST
在这里我使用yii2官方的http客户端扩展,模拟一个post请求很简单,如下代码。
$client = new Client([
'transport' => 'yii\httpclient\CurlTransport',
]);
$response = $client->createRequest()
->setMethod('POST')
->setUrl('https://xxx.com/demo/csrf-post.html')
->setData([
'username'=>'abei2017',
'_csrf'=>Yii::$app->request->getCsrfToken()
])->send();
echo $response->getContent();
以上使我们最先想到的,提交一组数据到某个url,但是这样并不能得到预想的结果。
原因
之所以被yii2的csrf拦截,主要是因为使用curl模拟POST请求的时候没有奖cookie中的 _csrf 也一起发送给服务器端。这个cookie值将用于csrf的具体验证工作,那就简单了。
$client = new Client([
'transport' => 'yii\httpclient\CurlTransport',
]);
$response = $client->createRequest()
->setMethod('POST')
->setUrl('https://xxx.com/demo/csrf-post.html')
->setCookies([
['name' => '_csrf', 'value' => urlencode($_COOKIE['_csrf'])],
])
->setData([
'username'=>'abei2017',
'_csrf'=>Yii::$app->request->getCsrfToken()
])->send();
echo $response->getContent();
ok,之所以没有使用yii2内置的cookie功能,主要是因为yii2在设置cookie的时候默认是进行加密的,而获取时候会自动解密。
如果使用yii2内置cookie组件获取,则获取是解密后的,再用来模拟就会出问题,我们需要使用curl发送一个经过加密的cookie。
当然如果你也可以配置yii2文件将cookie的加密解密去掉。
大功告成。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。