Yii2 关闭和打开csrf 验证 防止表单屡次重复提交

原文地址：http://blog.csdn.net/terry_water/article/details/52221007

 

1.在Yii2配置中配置全部：全部的controller都将关闭csrf验证，若是设置成true，则将打开csrf验证。

'request' => [

• 'enableCsrfValidation' => false,
• ],

 

 

2.在Yii2 controller中配置当前的controller添加变量，下面的设置将关闭csrf验证。

public $enableCsrfValidation = false;

 

 

1.在Yii2配置中配置全部：全部的controller都将关闭csrf验证，若是设置成true，则将打开csrf验证。

'request' => [

• 'enableCsrfValidation' => false,
• ],

 

 

2.在Yii2 controller中配置当前的controller添加变量，下面的设置将关闭csrf验证。

public $enableCsrfValidation = false;

 

 

上一节主要是简单地说了一下关于yii2的防护csrf的攻击机制，接下来讲一下关于如何全局和局部的开启使用csrf。
（1）全局使用，咱们直接在配置文件中设置enableCookieValidation为true

request => [
    'enableCookieValidation' => true,
]

若是不须要使用csrf的话,设置'enableCookieValidation' => false,可是这是不安全的，所以yii2的yii\web\request中的enableCookieValidation默认设置为true的，也就是默认开启csrf的，因此咱们也能够不配置这个值，默认开启。

若是开启csrf，由于这是全局的，因此在任何的post请求都会要求认证，因此咱们在post数据的时候，就必须设置csrf的数据隐藏在表单中。

<input type="hidden" name="_csrf" id='csrf' value="<?= Yii::$app->request->csrfToken ?>">

post数据的时候必需要把这个值post过去，这个值的产生<?= Yii::$app->request->csrfToken ?>，返回一个加密后的csrfToken。

因此不管是post表单仍是ajax的post过去，都必须设置csrfToken这个值，而且要提交时要post过去。若是没有的话，就会发生错误，没法认证经过。

（2）若是想在某些控制器不想使用csrf验证的话，又该如何作呢？
方法很简单，直接设置

public $enableCsrfValidation = false ,

由于这个Controller继承与yii\web\Controller ,将至关于继承于enableCsrfValidation这个属性，那么在建立控制器实例时，就会在这个控制器关闭csrf功能，访问这个控制器的post的方式时，也就不会进行验证。
举一个例子，好比咱们开发API的时候,微信那边的接口须要post数据给咱们的接口时，因为微信端不知道csrfToken,因此访问post数据的时候，若是开启全局csrf的话，那确定不能访问成功的。因此这时就须要关闭这个API 的csrf。

3）若是要具体关闭至某一个action呢？
有时在一些功能中，咱们须要在某一个action中关闭csrf验证。咱们知道对于csrf的验证是在beforeAction($Action)中实现的，下面咱们能够在Controller中重写beforeAction($action)这个方法

public function beforeAction($action) {

    $currentaction = $action->id;

    $novalidactions = ['dologin'];

    if(in_array($currentaction,$novalidactions)) {

        $action->controller->enableCsrfValidation = false;
    }
    parent::beforeAction($action);

    return true;
}

传入的参数$action是controller针对这个访问实例化的对象，里面包含不少信息，你们能够打印看看。
首先执行$action->id获取当前的访问的action名称。而$novalidactions是一个数组，里面是action名称，这些action都是是你须要关闭csrf的认证的操做（须要关闭csrf认证的操做）。
经过当前的访问的action是否在这个$novalidactions中，若是在，说明这个action须要关闭csrf功能,因此就将这个控制器实例的设置为

$action->controller->enableCsrfValidation = false
接下来再执行parent::beforeAction($action)，此时传入来的$action里的controller实例的enableCsrfValidation已变为false。
最后必定要返回true，不然的话，不会往下执行action操做的。

（4）若是局部开启呢？
首先在配置文件要设置
request => [
'enableCookieValidation' => false,
]
全局不使用csrf。

(a)要在控制器中开启，只须要设置
public $enableCsrfValidation = true
则整个控制器都会开启

(b)要在action中开启
public function beforeAction($action) {
$currentaction = $action->id;
$accessactions = ['dologin'];
i f(in_array($currentaction,$accessactions)) {
              $action->controller->enableCsrfValidation = true;
  }

        parent::beforeAction($action);
        return true; } $accessactions是须要开启csrf的action的名称，将设置$action->controller->enableCsrfValidation = true,当前操做能够开启csrf。