什么是Yii2框架的csrf驗證原理分析及token緩存解決方案
什么是Yii2框架的csrf驗證原理分析及token緩存解決方案�?很多新手對此不是很清楚�,為了幫助大家解決這個難題����,下面小編將為大家詳細講解��,有這方面需求的人可以來學習下����,希望你能有所收獲��。
本文主要分三個部分���,首先簡單介紹csrf��,接著對照源碼重點分析一下yii框架的驗證原理���,最后針對頁面緩存導致的token被緩存提出一種可行的方案���。涉及的知識點會作為附錄附于文末��。感興趣的朋友了解一下吧����。
1.CSRF描述
CSRF全稱為“Cross-Site Request Forgery”�����,是在用戶合法的SESSION內發起的攻擊��。黑客通過在網頁中嵌入Web惡意請求代碼�����,并誘使受害者訪問該頁面��,當頁面被訪問后����,請求在受害者不知情的情況下以受害者的合法身份發起���,并執行黑客所期待的動作����。以下HTML代碼提供了一個“刪除產品”的功能:
<a href="http://www.shop.com/delProducts.php?id=100" "javascript:return confirm('Are you sure?')">Delete</a>假設程序員在后臺沒有對該“刪除產品”請求做相應的合法性驗證����,只要用戶訪問了該鏈接���,相應的產品即被刪除����,那么黑客可通過欺騙受害者訪問帶有以下惡意代碼的網頁��,即可在受害者不知情的情況下刪除相應的產品�。
2.yii的csrf驗證原理 /vendor/yiisoft/yii2/web/Request.php簡寫為Request.php
/vendor/yiisoft/yii2/web/Controller.php簡寫為Controller.php
開啟csrf驗證
在控制器里將enableCsrfValidation為true�,則控制器內所有操作都會開啟驗證�����,通常做法是將enableCsrfValidation為false,而將一些敏感操作設為true�,開啟局部驗證�。
public $enableCsrfValidation = false;
/**
* @param \yii\base\Action $action
* @return bool
* @desc: 局部開啟csrf驗證(重要的表單提交必須加入驗證�����,加入$accessActions即可
*/
public function beforeAction($action){
$currentAction = $action->id;
$accessActions = ['vote','like','delete','download'];
if(in_array($currentAction,$accessActions)) {
$action->controller->enableCsrfValidation = true;
}
parent::beforeAction($action);
return true;
}生成token字段
在Request.php
首先通過安全組件Security獲取一個32位的隨機字符串���,并存入cookie或session����,這是原生的token.
/**
* Generates an unmasked random token used to perform CSRF validation.
* @return string the random token for CSRF validation.
*/
protected function generateCsrfToken()
{
$token = Yii::$app->getSecurity()->generateRandomString();
if ($this->enableCsrfCookie) {
$cookie = $this->createCsrfCookie($token);
Yii::$app->getResponse()->getCookies()->add($cookie);
} else {
Yii::$app->getSession()->set($this->csrfParam, $token);
}
return $token;
}接著通過一系列加密替換操作���,生成加密后_csrfToken��,這個是傳給瀏覽器的token. 先隨機產生CSRF_MASK_LENGTH(Yii2里默認是8位)長度的字符串 mask
對mask和token進行如下運算 str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2) 是一個先補位異或運算
/**
* Returns the XOR result of two strings.
* If the two strings are of different lengths, the shorter one will be padded to the length of the longer one.
* @param string $token1
* @param string $token2
* @return string the XOR result
*/
private function xorTokens($token1, $token2)
{
$n1 = StringHelper::byteLength($token1);
$n2 = StringHelper::byteLength($token2);
if ($n1 > $n2) {
$token2 = str_pad($token2, $n1, $token2);
} elseif ($n1 < $n2) {
$token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1);
}
return $token1 ^ $token2;
}
public function getCsrfToken($regenerate = false)
{
if ($this->_csrfToken === null || $regenerate) {
if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
$token = $this->generateCsrfToken();
}
// the mask doesn't need to be very random
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
$mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
// The + sign may be decoded as blank space later, which will fail the validation
$this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
}
return $this->_csrfToken;
}驗證token
在controller.php里調用request.php里的validateCsrfToken方法
/**
* @inheritdoc
*/
public function beforeAction($action)
{
if (parent::beforeAction($action)) {
if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
}
return true;
}
return false;
}
public function validateCsrfToken($token = null)
{
$method = $this->getMethod();
if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
return true;
}
$trueToken = $this->loadCsrfToken();//如果開啟了enableCsrfCookie,CsrfToken就從cookie里取,否者從session里取(更安全)
if ($token !== null) {
return $this->validateCsrfTokenInternal($token, $trueToken);
} else {
return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
|| $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
}
}獲取客戶端傳入
$this->getBodyParam($this->csrfParam)
然后是validateCsrfTokenInternal
private function validateCsrfTokenInternal($token, $trueToken)
{
if (!is_string($token)) {
return false;
}
$token = base64_decode(str_replace('.', '+', $token));
$n = StringHelper::byteLength($token);
if ($n <= static::CSRF_MASK_LENGTH) {
return false;
}
$mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
$token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
$token = $this->xorTokens($mask, $token);
return $token === $trueToken;
}加密時用的是 str_replace('+', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask))); 解密 1.首先要把.替換成+ 2.然后base64_decode 再 根據長度分別取出mask和mask和this->xorTokens(token,token,mask) ; 為了說明方便 this?>xorTokens(this?>xorTokens(token, $mask) 這里稱作 token1 然后 進行mask和token1的異或運算,即得token 注意在加密時
token1=token^mask
所以 解密時
token=mask^token1=mask^(token^mask)
3.token緩存的解決方案
當頁面整體被緩存后���,token也被緩存導致驗證失敗����,一種常見的解決思路是每次提交前重新獲取token,這樣就可以通過驗證了���。
附錄:
str_pad()��,該函數返回 input 被從左端�、右端或者同時兩端被填充到制定長度后的結果�����。如果可選的 pad_string 參數沒有被指定����,input 將被空格字符填充��,否則它將被 pad_string 填充到指定長度�;
str_shuffle() 函數打亂一個字符串�����,使用任何一種可能的排序方案����。
因為yii2 csrf的驗證的加解密 涉及到異或運算
所以需要先補充php里字符串異或運算的相關知識,不需要的可以跳過
^異或運算 不一樣返回1 否者返回 0 在PHP語言中,經常用來做加密的運算,解密也直接用^就行 字符串運算時 利用字符的ascii碼轉換為2進制來運算 單個字符運算
1.對于單個字符和單個字符的 直接計算其結果即可 比如表里的a^b
2.對于長度一樣的多個字符串 如表里的ab^cd 計算a^c對應的結果和和b^d對應的結果 對應的字符連接起來
看完上述內容是否對您有幫助呢����?如果還想對相關知識有進一步的了解或閱讀更多相關文章�,請關注億速云行業資訊頻道��,感謝您對億速云的支持����。
