YII2局部关闭CSRF

yii2框架为了安全，对所有控制器的Post提交都做了csrf验证。这固然很好，但是有时我们却需要关闭它，比如在做微信等接口回调出理时，就需要关闭csrf，不然获取不到数据。当然，可以直接在控制器加public $enableCsrfValidation = false;整个控制器关闭csrf验证，但这样做的也有弊端，就是所有动作都不验证，这是很危险的，当一个控制器中有的动作需要csrf验证,有的不需要时，我们就需要借助行为来实现。

1,新建行为，命名空间可根据自己的情况来写，示例如下:

<?php
namespace common\behaviors;
use Yii;
use yii\base\Behavior;
use yii\web\Controller;
/**
 * 局部关闭csrf验证
 * @author xiaomalover <xiaomalover@gmail.com>
 */
class NoCsrfBehavior extends Behavior
{
    /**
     * 不验证动作数组
     * @var array
     */
    public $actions = [];
    /**
     * 给控制器的EVENT_BEFORE_ACTION事件绑定处理器
     */
    public function events()
    {
        return [Controller::EVENT_BEFORE_ACTION => 'beforeAction'];
    }
    /**
     * beforeAction事件处理函数
     * @param  Event $event 事件实体
     */
    public function beforeAction($event)
    {
        $action = $event->action->id;
        if (in_array($action, $this->actions)) {
            $this->owner->enableCsrfValidation = false;
        }
    }
}

2，在控制器里如下引用:

<?php
namespace frontend\controllers;
use yii;
use yii\web\Controller;
use common\behaviors\NoCsrfBehavior;
class SiteController extends Controller
{
    /**
     * 增加局部关闭crsf行为
     * @author xiaomalover <xiaomalover@gmail.com>
     */
    public function behaviors()
    {
        return [
            'csrf' => [
                'class' => NoCsrfBehavior::className(),
                'actions' => [
                    'wx-back'
                ]
            ]
        ];
    }
}

如此以来，只要在actions里的动作，都会自动关闭csrf验证。

YII2局部关闭CSRF

微信号：腾讯云折扣返现

技术讨论QQ群： 863102326

作者: catherine

搜索

标签