Почему такое происходит с CSRF в Yii2?

Question

[Артём]

Здравствуйте. Подскажите, пожалуйста, почему такое творится. Настроил, чтобы не нужно было постоянно авторизовываться, а авторизация сохранилась на долго:

'request' => [
            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
            'class' => 'app\assets\*********',
            'cookieValidationKey' => '*********************',
            'enableCookieValidation' => true,
            'enableCsrfCookie' => true,
            'enableCsrfValidation' => true,
        ],
        'session' => [
            'class' => 'yii\web\Session',
            'cookieParams' => ['lifetime' => 3600*24*30*12],
            'timeout' => 3600*24*30*12,
            'useCookies' => true,
        ],

В layout в теге head:
<?= Html::csrfMetaTags();?>

В формах используется ActionForm.

Вроде бы всё хорошо. Работает, не вылетает. Но на POST запросах теперь не проходит проверка CSRF. Пишет "Не удалось проверить подлинность запроса". Не могу понять почему так. Помогите, пожалуйста.

Answer 1

[Артём]

Проблема решена. Даже не представлял, что из-за такой ерунды не будет работать.
В layout не было
<?php $this->beginPage();?>
Из-за этого не генерировался заново CSRF.

Comments

[Виталий Хоменко]

Это не ерунда

[Артём]

Виталий IIIFX Хоменко: просто глупая ошибка.

[neochar]

Спасение!

Answer 2

[Андрей Павленко]

Этой информации недостаточно. Проверьте и добавьте в ваше сообщение такие участки кода: есть ли в layout файле подключение csrf с помощью хелпера Html; используете ли вы для отображения формы виджет ActionForm или хелпер Html::beginForm (они автоматически добавляют CSRF-метку); если используете - поставили ли POST.

Comments

[Артём]

Обновил информацию.

[Андрей Павленко]

Артём: Хорошо, теперь, когда прошли "проверку на знание Yii2", скидывайте собственно фрагмент, который касается кода формы и обработчик (контроллер). Так же советую открыть отладчик в браузере (к примеру, в гугл хроме) и посмотреть, какой запрос вы отправляете (скидывается ли вместе с формой _csrf метка) и посмотреть, какой код возвращается (хотя, скорее всего, это ошибка 400)

[Артём]

Андрей Павленко: csrf отправляется, код 400. Обработчик самый обычный, я же не проверяю csrf сам.

[Артём]

https://i.gyazo.com/fc88494f8d08b202977de896e3ecad...
https://i.gyazo.com/1976a9b741ed5e89c078ee7a0a16a6...

[Андрей Павленко]

Артём: 'class' => 'app\assets\*********', - что это, почему вы переопределяете класс request? Возможно, ошибка здесь? Смотрите в сторону этого класса. Чтобы вы не делали - переопределяете ли вы after/before события?

[Артём]

Андрей Павленко: убрал, всё равно "Bad Request (#400): Не удалось проверить переданные данные". Там просто управление языком.

[Андрей Павленко]

Закоментируйте эти строки: 'enableCookieValidation' => true, 'enableCsrfCookie' => true, 'enableCsrfValidation' => true,
и проверьте еще раз. В request, мне кажется, все настройки csrf должны быть включены по умолчанию. Если даже это никак не поможет - придется где-то выгрузить action и view-файл, иначе я уже не знаю, в чем могут быть проблемы.

[Артём]

Андрей Павленко: всё равно не работает. Странно. Но я думаю, если заново авторизоваться и подождать, то тогда будет работать.

[Артём]

Андрей Павленко: заметил, что сессия _csrf просто исчезает и поэтому перестаёт работать. Но почему исчезает - не понимаю.

[Артём]

Андрей Павленко: походу нужно как-то csrf обновлять постоянно, чтобы сессия не удалялась. Нужно для каждой страницы обновлять сессию, но как?

[Андрей Павленко]

Артём: теперь уж я не знаю, я вообще session в своем конфиге не изменял и у меня стоит дефолтный конфиг. Попытайтесь и вы так сделать. А в самом модуле авторизации уже есть autoRenewCookies, который будет позволять авторизироваться автоматически даже после закрытия браузера.

[Артём]

Андрей Павленко: хорошо, спасибо.

[Артём]

Андрей Павленко: autoRenewCookies не авторизовывает после закрытия браузера. Это лишь обновляет куки при каждой загрузки страницы. Так что проблему, увы, не решает.

[Андрей Павленко]

Артём: настройка в компоненте User с названием 'enableAutoLogin' => true - это то, что нужно

[Артём]

Андрей Павленко: вы бы хоть прочитали стартовый пост.