1. 首頁
  2. 問答
  3. 當我在ZEND中添加CSRF時,爲什麼captcha重新加載不起作用?

當我在ZEND中添加CSRF時,爲什麼captcha重新加載不起作用?

2013-02-26 31 views
1

當我加入下面的代碼重載的captcha做工精細當我在ZEND中添加CSRF時,爲什麼captcha重新加載不起作用?

在Zend中FORM:

$this->setName("login"); 
    $this->setMethod('post'); 

    $this->addElement('text', 'username', array(
    'filters' => array('StringTrim', 'StringToLower'), 
    'validators' => array(
     array('StringLength', false, array(0, 50)), 
    ), 
    'required' => true, 
    'label'  => 'Username:', 
    )); 

    $this->addElement('password', 'password', array(
    'filters' => array('StringTrim'), 
    'validators' => array(
     array('StringLength', false, array(0, 50)), 
    ), 
    'required' => true, 
    'label'  => 'Password:', 
    )); 


// Add a captcha 
$this->addElement('captcha', 'captcha', array(
'label'  => 'Please enter the 5 letters displayed below:', 
'required' => true, 
'captcha' => array(
    'captcha' => 'Figlet', 
    'wordLen' => 5, 
    'timeout' => 300 
) 
)); 



    $captcha = $this->createElement('captcha', 'captcha', array(
    'required' => true, 
    'captcha' => array(
     'captcha' => 'Image', 
     'font' => APPLICATION_PATH . '/../public/fonts/arial.ttf', 
     'fontSize' => '24', 
     'wordLen' => 5, 
     'height' => '50', 
     'width' => '150', 
     'imgDir' => APPLICATION_PATH.'/../public/captcha', 
     'imgUrl' => Zend_Controller_Front::getInstance()->getBaseUrl().'/captcha', 
     'dotNoiseLevel' => 50, 
     'lineNoiseLevel' => 5, 
    ), 
    'description' => 'Refresh Captcha Image' 

)); 

    $captcha->setLabel('Please type the words shown:'); 
    $captcha->removeDecorator("htmlTag")->removeDecorator('label'); 
    $captcha->addDecorator('Errors', array('class' => 'err-username', 'style' => 'display:none')); 
    $captcha->addDecorator('Description', array('id' => 'refreshcaptcha')); 

    $this->addElement($captcha); 
$this->getElement('captcha')->removeDecorator("htmlTag")->removeDecorator('label'); 

// And finally add some CSRF protection 
    /*$this->addElement('hash', 'csrf', array(
'ignore' => true, 
));*/ 

$this->addElement('submit', 'login', array(
'required' => false, 
'ignore' => true, 
'label' => 'Login', 
));

在PHTML:

<script type="text/javascript"> 
    $(document).ready(function() { 
     $('#refreshcaptcha').click(function() { 
      $.ajax({ 
       url: "<?php echo $this->url(array('controller' => 'auth', 'action' => 'refresh'), 'default', false) ?>", 
       dataType:'json', 
       success: function(data) { 
        $('#contactForm img').attr('src', data.src); 
        $('#captcha-id').attr('value', data.id); 
       } 
      }); 
     }); 
    }); 
    </script> 

    <?php 
     //Default 
     //$this->form->setAction($this->url()); 
     //echo $this->form; 
    ?> 

    <?php 
    $errorsMessages = $this->form->getMessages(); 
    //http://www.websitefactors.co.uk/zend-framework/2011/06/error-class-on-form-field-errors-using-zend-form/ 
    ?> 
    <?php 
    foreach($this->form->getMessages() as $elemName=>$messages) { 
     foreach($messages as $message) { 
      $label = $this->form->getElement($elemName)->getLabel(); 
      echo $this->escape($label.' '.$message)."<br>" ; 
     } 
    } 
    ?> 
    <div id="contactForm"> 
    <form method="<?php echo $this->form->getMethod(); ?>" action="<?php echo $this->form->getAction(); ?>"> 
    <?php echo $this->form->username->renderViewHelper(); ?> 
    <?php echo $this->form->password->renderViewHelper(); ?> 
    <?php echo $this->form->captcha; ?> 
    <?php //echo $this->form->csrf->renderViewHelper(); ?> 
    <?php echo $this->formSubmit('submit', 'Sign in',array('class'=>'button')); ?> 
    </form> 
    </div>

當我點擊 「刷新驗證碼圖片」 時,驗證碼圖像被替換而不刷新頁面,並且它工作正常,但是當我添加下面的CSRF(跨站請求僞造)代碼並重新加載驗證碼並提交時,登錄永遠不會成功。它給我的錯誤:「需要價值,不能爲空」或「請鍵入詞顯示:驗證碼值是錯誤

$this->addElement('hash', 'csrf', array(
     'ignore' => true, 
    ));

來源

2013-02-26 Prashant

回答

0

Zend_Form_Element_Hash大幹快上的每個請求生成。所以當你點擊「Refresh Captcha Image」刷新一個新的請求時發生了什麼。然後,當您提交表單時,您已經用完了您的請求,因此令牌檢查失敗,因爲令牌不同步。

要解決這個問題,你可以做錯誤的事情,只是增加你的跳數到一些高數。儘管如此,這將有助於否定您之後的安全。正確解決此問題的一種方法是在refresh()操作中重新初始化auth控制器中的令牌。然後,您可以發送一個包含此新令牌的json_encoded響應。

.... 
$form->captcha->initCsrfToken(); //recreate token and send it back 
$responseArray['hash'] = $form->captcha->getValue(); 
echo Zend_Json::encode($responseArray);

在你做了ajax調用之後,你就可以用你從refresh()動作中得到的東西替換這個標記。例如:

var newHash = jQuery.parseJSON(data).hash; 
$('#yourcsrfelement').val(newHash);

來源

2013-03-22 01:05:58 elightbo

+0

致命錯誤:在非對象 - $ form-> changealbumcsrf-> initCsrfToken()上調用成員函數initCsrfToken(); //重新創建令牌並將其發回原因? – Prashant 2013-06-12 10:52:37

+0

我的不好。我正在使用過去項目中的一些代碼。複製/粘貼是:)我已經更新我的答案,使用您的驗證碼字段而不是我的。 – elightbo 2013-06-17 16:21:41

+0

我已經設置了這個代碼,它的工作?在控制器中:$ form = new Application_Form_Loginother(); \t \t $ captcha = $ form-> getElement('captcha') - > getCaptcha(); \t \t //使用initCsrfToken GET HASH和RE-INITIALIZE \t \t $ csrf = $ form-> getElement('token'); \t \t $ csrf-> initCsrfToken(); \t \t \t \t $ data = array(); \t \t $ responseArray ['id'] = $ captcha-> ​​generate(); \t \t $ responseArray ['src'] = $ captcha-> ​​getImgUrl()。 $ captcha-> ​​getId()。 $ captcha-> ​​getSuffix(); \t \t $ responseArray ['hash'] = $ csrf-> getValue(); \t \t // echo Zend_Json :: encode($ responseArray); \t \t \t $ this - > _ helper-> json($ responseArray); – Prashant 2013-06-20 05:51:14

相關問題

 相關問題