5

一部のコントローラーでのみ csrf 保護をオンにしたいので、

function __construct() {

    parent::__construct();
    $this->load->library('form_validation');        
    $this->load->library('tank_auth');
    $this->load->helper(array('form', 'url'));
    $this->load->model('user_model', '', true);

    $this->config->set_item('csrf_protection', TRUE);

}

ページで var_dump($this->config) を実行すると、csrf_protection が TRUE であることが示されますが、Cookie が設定されておらず、フォームに値のない非表示フィールドがありますが、機能していないようです。

<input type="hidden" name="ci_csrf_token" value="" />

csrf トークン名と Cookie 名がすべて設定され、フォームは form_open() で呼び出されます。

どんな助けでも大歓迎です。

更新:したがって、バージョン 2.1.1 からはセキュリティ クラス コンストラクトの行のため、これは不可能です。if (config_item('csrf_protection') === TRUE) {

セキュリティクラスはコントローラーの前に初期化されるため、コントローラーの構成項目の変更が影響しないのは当然です。

4

1 に答える 1

5

解決策があります。カスタム application/core/MY_Security.php を作成し、これを入れます:

<?php if ( !defined( 'BASEPATH' ) ) exit( 'No direct script access allowed' );

class MY_Security extends CI_Security
{
    public function csrf_verify( )
    {
        foreach ( config_item('csrf_excludes') as $exclude )
        {
            $uri = load_class('URI', 'core');
            if ( preg_match( $exclude, $uri->uri_string() ) > 0 )
            {
                // still do input filtering to prevent parameter piggybacking in the form
                if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match( '#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name] ) == 0)
                {
                    unset( $_COOKIE[$this->_csrf_cookie_name] );
                }
                return;
            }
        }
        parent::csrf_verify( );
    }
}

これにより、CSRF セクションの application/config.php に入れる必要がある次の除外がチェックされます。

$config['csrf_excludes'] = array
    ( '@^/?excluded_url_1/?@i'
    , '@^/?excluded_url_2/?@i' );

一致するすべての URL パターンが CSRF チェックから除外されます。http://rubular.comで正規表現を構築できます。

乾杯

于 2013-04-07T09:01:10.577 に答える