                        課程
                    
                        /后端開發(fā)
                        
                            /PHP
                        
                        /Yii框架不得不說的故事—安全篇（3）

請問防csrf時，yii生成的token有時效性嗎？

同一個頁面反復(fù)刷新，\YII::$app->request->csrfToken; 頁面中這個值是一直變化的。

但是同一個頁面里反復(fù)發(fā)送ajax的post請求，用著同一個token卻一直可以通過。

甚至一個可通過的token在之后的請求中反復(fù)使用，依然可以通過。

這個頁面生成的token在其他頁面依然可用，那又為什么要每個頁面都要生成新的token呢？

大狂

2017-03-03

源自：Yii框架不得不說的故事—安全篇（3） 5-5

關(guān)注問題我要回答

3135

操作

收起

2 回答

鋒君
2017-04-15

因為你拿到這個頁面的數(shù)據(jù)，是通過后臺一系列驗證的，

0 回復(fù) 有任何疑惑可以回復(fù)我~

收起回答

杰or毅
2017-03-05

????public?function?getCsrfToken($regenerate?=?false)
????{
????????if?($this->_csrfToken?===?null?||?$regenerate)?{
????????????if?($regenerate?||?($token?=?$this->loadCsrfToken())?===?null)?{
????????????????$token?=?$this->generateCsrfToken();
????????????}
????????????//?the?mask?doesn't?need?to?be?very?random
????????????$chars?=?'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
????????????$mask?=?substr(str_shuffle(str_repeat($chars,?5)),?0,?static::CSRF_MASK_LENGTH);
????????????//?The?+?sign?may?be?decoded?as?blank?space?later,?which?will?fail?the?validation
????????????$this->_csrfToken?=?str_replace('+',?'.',?base64_encode($mask?.?$this->xorTokens($token,?$mask)));
????????}

????????return?$this->_csrfToken;
????}