Yii2中如何處理跨站請(qǐng)求偽造

在Yii2中處理跨站請(qǐng)求偽造（CSRF）主要涉及到配置和驗(yàn)證兩個(gè)方面。Yii2框架已經(jīng)內(nèi)置了對(duì)CSRF保護(hù)的支持，你只需要進(jìn)行相應(yīng)的配置即可啟用它。

1. 配置CSRF保護(hù)：

在Yii2的配置文件（例如：config/web.php）中，找到’components’部分，設(shè)置’request’組件的’enableCsrfProtection’屬性為true，以啟用CSRF保護(hù)。

'components' => [
    // ...
    'request' => [
        'enableCsrfProtection' => true,
    ],
    // ...
],

2. 在表單中添加CSRF令牌：

在需要保護(hù)表單提交的地方，添加一個(gè)隱藏的輸入字段，用于存儲(chǔ)CSRF令牌。Yii2會(huì)自動(dòng)生成這個(gè)令牌并將其存儲(chǔ)在用戶的會(huì)話中。例如：

<form action="/your-action" method="post">
    <!-- 其他表單字段 -->
    <input type="hidden" name="_csrf" value="<?php echo Yii::$app->request->csrfToken; ?>">
    <button type="submit">提交</button>
</form>

3. 驗(yàn)證CSRF令牌：

當(dāng)用戶提交表單時(shí)，Yii2會(huì)自動(dòng)驗(yàn)證CSRF令牌是否有效。如果令牌無(wú)效或已過(guò)期，Yii2將拋出一個(gè)異常，你可以在控制器中捕獲這個(gè)異常并處理它。例如：

use yii\web\HttpCsrfException;

public function actionYourAction()
{
    try {
        // 處理表單提交
    } catch (HttpCsrfException $e) {
        // 處理CSRF異常，例如顯示錯(cuò)誤消息
        return $this->render('your-view', [
            'error' => 'CSRF驗(yàn)證失敗，請(qǐng)重新提交表單。',
        ]);
    }
}

通過(guò)以上步驟，你就可以在Yii2中處理跨站請(qǐng)求偽造了。