共计 1167 个字符,预计需要花费 3 分钟才能阅读完成。
关于 csrf 的原理和在 yii2 内的运行建议先看之前发的一篇文 https://nai8.me/article/383
本篇我们要做一个事情,就是在同一个 yii2 应用中,某个 action 使用 curl 模拟表单提交到另一个 action,但是你我都知道在 yii2 内如果发送 post 请求,需要经过 csrf 验证,那么使用 curl 模拟的时候如何通过 csrf 那?我们来实现。
模拟 POST
在这里我使用 yii2 官方的 http 客户端扩展,模拟一个 post 请求很简单,如下代码。
$client = new Client([
‘transport’ => ‘yii\httpclient\CurlTransport’,
]);
$response = $client->createRequest()
->setMethod(‘POST’)
->setUrl(‘https://xxx.com/demo/csrf-post.html’)
->setData([
‘username’=>’abei2017’,
‘_csrf’=>Yii::$app->request->getCsrfToken()
])->send();
echo $response->getContent();
以上使我们最先想到的,提交一组数据到某个 url,但是这样并不能得到预想的结果。
原因
之所以被 yii2 的 csrf 拦截,主要是因为使用 curl 模拟 POST 请求的时候没有奖 cookie 中的 _csrf 也一起发送给服务器端。这个 cookie 值将用于 csrf 的具体验证工作,那就简单了。
$client = new Client([
‘transport’ => ‘yii\httpclient\CurlTransport’,
]);
$response = $client->createRequest()
->setMethod(‘POST’)
->setUrl(‘https://xxx.com/demo/csrf-post.html’)
->setCookies([
[‘name’ => ‘_csrf’, ‘value’ => urlencode($_COOKIE[‘_csrf’])],
])
->setData([
‘username’=>’abei2017’,
‘_csrf’=>Yii::$app->request->getCsrfToken()
])->send();
echo $response->getContent();
ok,之所以没有使用 yii2 内置的 cookie 功能,主要是因为 yii2 在设置 cookie 的时候默认是进行加密的,而获取时候会自动解密。
如果使用 yii2 内置 cookie 组件获取,则获取是解密后的,再用来模拟就会出问题,我们需要使用 curl 发送一个经过加密的 cookie。
当然如果你也可以配置 yii2 文件将 cookie 的加密解密去掉。
大功告成。