php - 设置配置项 (csrf) 在 Codeigniter 中不起作用

Question

我只想在我的几个 Controller 中打开 csrf 保护，所以我有

function __construct() {

    parent::__construct();
    $this->load->library('form_validation');        
    $this->load->library('tank_auth');
    $this->load->helper(array('form', 'url'));
    $this->load->model('user_model', '', true);

    $this->config->set_item('csrf_protection', TRUE);

}

但它似乎不起作用，尽管当我在页面上执行 var_dump($this->config) 它显示 csrf_protection 为 TRUE，但未设置 cookie，并且表单有一个没有值的隐藏字段

<input type="hidden" name="ci_csrf_token" value="" />

Csrf token name 和 cookie name 都设置好了，表单用 form_open() 调用。

如有任何帮助，我们将不胜感激。

更新: 所以从 2.1.1 版开始这是不可能的，因为安全类构造中的行 if (config_item('csrf_protection') === TRUE) {

安全类在 Controller 之前初始化，所以 Controller 中配置项的变化自然不会影响它。

Answer 1

我有一个解决方案给你。创建自定义 application/core/MY_Security.php 并将其放入其中:

<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );

class MY_Security extends CI_Security
{
    public function csrf_verify( )
    {
        foreach ( config_item('csrf_excludes') as $exclude )
        {
            $uri = load_class('URI', 'core');
            if ( preg_match( $exclude, $uri->uri_string() ) > 0 )
            {
                // still do input filtering to prevent parameter piggybacking in the form
                if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name] ) == 0)
                {
                    unset( $_COOKIE[$this->_csrf_cookie_name] );
                }
                return;
            }
        }
        parent::csrf_verify( );
    }
}

这将检查以下排除项，您需要将其放入 CSRF 部分的 application/config.php 中:

$config['csrf_excludes'] = array
    ( '@^/?excluded_url_1/?@i'
    , '@^/?excluded_url_2/?@i' );

每个匹配的 URL 模式都将被排除在 CSRF 检查之外。您可以在此处构建正则表达式 http://rubular.com

干杯