亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定

請問防csrf時,yii生成的token有時效性嗎?

同一個頁面反復刷新,\YII::$app->request->csrfToken; 頁面中這個值是一直變化的。

但是同一個頁面里反復發送ajax的post請求,用著同一個token卻一直可以通過。

甚至一個可通過的token在之后的請求中反復使用,依然可以通過。

這個頁面生成的token在其他頁面依然可用,那又為什么要每個頁面都要生成新的token呢?

正在回答

2 回答

因為你拿到這個頁面的數據,是通過后臺一系列驗證的,

0 回復 有任何疑惑可以回復我~ 
????public?function?getCsrfToken($regenerate?=?false)
????{
????????if?($this->_csrfToken?===?null?||?$regenerate)?{
????????????if?($regenerate?||?($token?=?$this->loadCsrfToken())?===?null)?{
????????????????$token?=?$this->generateCsrfToken();
????????????}
????????????//?the?mask?doesn't?need?to?be?very?random
????????????$chars?=?'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
????????????$mask?=?substr(str_shuffle(str_repeat($chars,?5)),?0,?static::CSRF_MASK_LENGTH);
????????????//?The?+?sign?may?be?decoded?as?blank?space?later,?which?will?fail?the?validation
????????????$this->_csrfToken?=?str_replace('+',?'.',?base64_encode($mask?.?$this->xorTokens($token,?$mask)));
????????}

????????return?$this->_csrfToken;
????}


0 回復 有任何疑惑可以回復我~

舉報

0/150
提交
取消
Yii框架不得不說的故事—安全篇(3)
  • 參與學習       17586    人
  • 解答問題       36    個

本教程主要講解Yii對4種流行攻擊方式的防范和處理

進入課程

請問防csrf時,yii生成的token有時效性嗎?

我要回答 關注問題
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號