Как работает CSRF в yii2?

Question

[Igorrebega]

Как работает CSRF в yii2?

Наиболее интересует как проверяется токен

Answer 1

[theaidem]

А в исходниках не написано?

Comments

[Igorrebega]

У меня проблема что тот токен что передаёт форма не такой как в теге мета, и возникает ошибка 400

Answer 2

[Андрей Ежгуров]

А заглянуть в исходники и самому посмотреть - как там всё сделано? Ничего сложного там нет.

Comments

[Igorrebega]

У меня проблема что тот токен что передаёт форма не такой как в теге мета, и возникает ошибка 400

Answer 3

[Рустамка Воронцов]

Здравсвуйте! в yii2 ненужно проверять токен, он его сам проверит

if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
    return true;
}

Comments

[Igorrebega]

У меня проблема что тот токен что передаёт форма не такой как в теге мета, и возникает ошибка 400

[Рустамка Воронцов]

@Igorrebega: yiiframework.ru/forum/viewtopic.php?f=19&t=18922 это уже обсуждалось

[Igorrebega]

Рустамка Воронцов: Но решения нету?

Answer 4

[Igorrebega]

У меня проблема что тот токен что передаёт форма не такой как в теге мета, и возникает ошибка 400

Answer 5

[atis //]

"Хреново" работает. В доке ничего не написано об этом. Там в принципе о многом не написано.

Не могу рассказать принцип работы, но могу показать как работает.

<?php

/** @var $this yii\web\View */

$this->registerMetaTag(['name' => 'csrf-param', 'content' => Yii::$app->request->csrfParam]);
$this->registerMetaTag(['name' => 'csrf-token', 'content' => Yii::$app->request->getCsrfToken()]);

?>

<form action="#" method="posts">

    <!-- inputs -->

   <input type="hidden" name="<?= Yii::$app->request->csrfParam ?>" value="<?= Yii::$app->request->getCsrfToken() ?>"/>

    <!-- submit -->

</form>