設置配置項（CSRF）犯規在笨

Question

工作我想只有我的幾個控制器來接通CSRF保護，所以我有

function __construct() { 

    parent::__construct(); 
    $this->load->library('form_validation');   
    $this->load->library('tank_auth'); 
    $this->load->helper(array('form', 'url')); 
    $this->load->model('user_model', '', true); 

    $this->config->set_item('csrf_protection', TRUE); 

} 

但它似乎沒有工作，雖然我的時候做一個頁面上的var_dump（$這個 - >配置），它表明csrf_protection是真的，但餅乾沒有設置，窗體上有一個隱藏字段沒有值

<input type="hidden" name="ci_csrf_token" value="" />

CSRF令牌名和cookie的名稱是所有設置，窗體都調用form_open（）。

任何幫助將不勝感激。

更新：所以從因安全類線的2.1.1版本構建if (config_item('csrf_protection') === TRUE) {

安全類控制器之前初始化，所以這是不可能的它自然，在控制器中的配置項的變化不會影響它。

Answer 1

我有適合您的解決方案。創建一個自定義應用程序/核心/ MY_Security.php，並把這個在它：

<?php if (!defined('BASEPATH')) exit('No direct script access allowed'); 

class MY_Security extends CI_Security 
{ 
    public function csrf_verify() 
    { 
     foreach (config_item('csrf_excludes') as $exclude) 
     { 
      $uri = load_class('URI', 'core'); 
      if (preg_match($exclude, $uri->uri_string()) > 0) 
      { 
       // still do input filtering to prevent parameter piggybacking in the form 
       if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match('#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name]) == 0) 
       { 
        unset($_COOKIE[$this->_csrf_cookie_name]); 
       } 
       return; 
      } 
     } 
     parent::csrf_verify(); 
    } 
} 

這將檢查，你需要把你的應用程序/ config.php文件中CSRF段以下不包括：

$config['csrf_excludes'] = array 
    ('@^/?excluded_url_1/?@i' 
    , '@^/?excluded_url_2/?@i'); 

CSRF檢查將排除每個匹配的URL模式。您可以在http://rubular.com

歡呼