huryer 2019-06-28
关于csrf的原理和在yii2内的运行建议先看之前发的一篇文 https://nai8.me/article/383
本篇我们要做一个事情,就是在同一个yii2应用中,某个action使用curl模拟表单提交到另一个action,但是你我都知道在yii2内如果发送post请求,需要经过csrf验证,那么使用curl模拟的时候如何通过csrf那?我们来实现。
在这里我使用yii2官方的http客户端扩展,模拟一个post请求很简单,如下代码。
$client = new Client([ 'transport' => 'yii\httpclient\CurlTransport', ]); $response = $client->createRequest() ->setMethod('POST') ->setUrl('https://xxx.com/demo/csrf-post.html') ->setData([ 'username'=>'abei2017', '_csrf'=>Yii::$app->request->getCsrfToken() ])->send(); echo $response->getContent();
以上使我们最先想到的,提交一组数据到某个url,但是这样并不能得到预想的结果。
之所以被yii2的csrf拦截,主要是因为使用curl模拟POST请求的时候没有奖cookie中的 _csrf 也一起发送给服务器端。这个cookie值将用于csrf的具体验证工作,那就简单了。
$client = new Client([ 'transport' => 'yii\httpclient\CurlTransport', ]); $response = $client->createRequest() ->setMethod('POST') ->setUrl('https://xxx.com/demo/csrf-post.html') ->setCookies([ ['name' => '_csrf', 'value' => urlencode($_COOKIE['_csrf'])], ]) ->setData([ 'username'=>'abei2017', '_csrf'=>Yii::$app->request->getCsrfToken() ])->send(); echo $response->getContent();
ok,之所以没有使用yii2内置的cookie功能,主要是因为yii2在设置cookie的时候默认是进行加密的,而获取时候会自动解密。
如果使用yii2内置cookie组件获取,则获取是解密后的,再用来模拟就会出问题,我们需要使用curl发送一个经过加密的cookie。
当然如果你也可以配置yii2文件将cookie的加密解密去掉。
大功告成。