Codeigniter開啟csrf protection時 傳送表單(or ajax)

2011-05-18

在CI 2.0中有一個csrf(Cross Site Request Forgery) protection的功能

如果打開這個功能的話
post表單給server 會吐 error 500
An Error Was Encountered
The action you have requested is not allowed.
會無法執行
這時候要在表單傳送的數值中加入一個token的值
才能正常使用表單功能

可以在application/config/config.php中找到下面這幾行

$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_test_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
$config['csrf_expire'] = 7200;

原本$config[‘csrf_protection’]預設是FALSE 改成TRUE就可以打開了
開啟之後 會自動幫你在cookie中存一個值
cookie的name在上面說的config.php中可以設定
之後傳送表單就要連這個token一起傳才行

以下用jquery的ajax功能示範

$(function(){
    $('#btn').click(function(){
	    $.ajax({
	        type:'POST'
	        ,url:'/ajax' //ajax接收的server端
	        ,data:$('#form').serialize()+'&csrf_test_name='+ getCookie('csrf_test_name')
	        ,success:function(data){
			alert(data.msg);
	        }
	        ,dataType:'json'
	    });
    });
});

function getCookie(name){
    var arr = document.cookie.match(new RegExp("(^| )"+name+"=([^;]*)(;|$)"));
    if(arr != null) return unescape(arr[2]); return null;
}

getCookie()是用js取出cookie的值
這是在網路上找到的 可以直接拿去用

而csrf_test_name就是在config.php中可以設定的參數
將這個cookie抓出來一起送出表單
就可以正常使用了

有任何指教歡迎留言~

referer : http://ericlbarnes.com/blog/post/codeigniter_csrf_protection_with_ajax

==================
update
==================
依據這頁http://codeigniter.com/forums/viewthread/163976/ 某樓提供的方法
可以使用以下方法取得token_name以及值

<input type="hidden" name="<?php echo $this->security->csrf_token_name?>" value="<?php echo $this->security->csrf_hash?>" />

滿方便的
另外還有一點就是
如果是用CI內建的form helper
在開啟csrf_protection時 會自動幫你加入這個token的值
我本身是沒有在用啦
如果有在用的人 就會比較方便囉 (或許根本就不會發現這個問題XD)
==================
以上是update的資訊
==================

Comments

  • 流年 說:

    刚刚遇到这个问题. 看了你这个解决了. 谢谢啦 台湾同胞!

  • hsin 說:

    別客氣~

  • 同胞 說:

    同胞我按你的做法弄了
    Request Method:POST
    Status Code:500 Internal Server Error
    post过来的值也有csrf_tk_name。
    username:abcabc
    password:e10adc3949ba59abbe56e057f20f883e
    seccode:aaa
    csrf_tk_name:1cdf120ee9a9fe57d43919e6cd54fb22
    commit:Login
    但是仍然是
    The action you have requested is not allowed.
    是什么原因。PS:我已经帮你点了一下右边的广告

  • 同胞 說:

    由于站里的框架比较多开错了config 汗。同胞有空给我Email互换个链接啥的。3Q

  • hsin 說:

    ok的啦~
    我沒有互換過連結耶
    不知道那是幹嘛用的?
    我的 email 是 joe [at] aol.tw
    有機會再交流交流吧~

  • Gummi 說:

    剛剛看了一下最新版的 CI_Security Class
    csrf_token_name 跟 csrf_hash 好像變成protected了
    所以如果用php要用 $this->security->get_csrf_token_name() 跟 $this->security->get_csrf_hash() 來抓值

  • hsin 說:

    了解~謝謝啦~

  • 張旭 說:

    感恩啊!

  • Charisma 說:

    有點久的問題,可以問一下嗎?

    我在codeigniter 最新版3.0.0 開啟CSRF功能,有使用form helper,但POST表單至另一支程式,卻怎麼都接不到token值,但其他自訂的input 用$this->input->post(‘something’);

    而token 的input 也是自己産生的,比如:

    可否問一下,謝謝你。

  • Charisma 說:

    ====訂正一下=====
    其他自訂的input 用$this->input->post(‘something’); 就可以接到。

  • Charisma 說:

    ‘<input type="hidden" name="csrf_test_name" value="c045c5830badeee443b350053e76cbb1" /'

  • hsin 說:

    所以流程是有正常進到 controller 裡面吧?
    那應該就可以不用管 token 值了
    他好像會自己處理 csrf 的問題

    你可以另外測試看看
    手動建立表單 然後不要放 csrf 的 token
    表單送出後會報錯誤 (好像是吐 error 500)

  • 發表迴響

    彙整

    分類