security - yii2 CSRF 不验证主机
问题描述
我面临的另一个问题是我的站点是在 yii2 中创建的,并且 CSRF 已启用,但是当我复制包含 csrf 令牌的完整表单并在服务器外部创建新的 html 文件并从服务器外部提交表单时,它接受我的表单。
预期的结果是什么?
它应该给出许可问题
你会得到什么?
它成功接受表单不确定我是否缺少任何配置或什么
Yii 2.0.6 版本
PHP 版本 5.5.38
操作系统 CentOS 6.9 版(最终版)
解决方案
CSRF 保护基于这样一个事实,即第三方网站不应该知道您用户的 CSRF 令牌。如果你暴露 CSRF 令牌,那么整个保护将不起作用。这是设计使然。
如果您想阻止来自不受信任域的请求,您可能应该使用CORS。
推荐阅读
- java - 设计模式保持行为唯一,但根据接口有所不同
- mongodb - 如何将 sql 数据检索转换为 mongodb?
- flutter - 如何防止 StatefulWidget 被丢弃?
- r - 获取错误(as.character(FUN),模式=“功能”,环境=环境):找不到模式“功能”的对象“乐趣”
- javascript - 如何从 Lambda 发布 mqtt 到 AWS Shadow
- arrays - 按照格式将 DataFrame 转换为多维数组
- assembly - 将伪代码转换为汇编代码
- python - mousePressEvent 对 QLabel 不起作用
- stream - 如何使用流 api 来定义约束规则,例如这样
- php - 两次或多次保存后在线考试成绩重复