设置配置项（CSRF）犯规在笨

Question

工作我想只有我的几个控制器来接通CSRF保护，所以我有

function __construct() { 

    parent::__construct(); 
    $this->load->library('form_validation');   
    $this->load->library('tank_auth'); 
    $this->load->helper(array('form', 'url')); 
    $this->load->model('user_model', '', true); 

    $this->config->set_item('csrf_protection', TRUE); 

} 

但它似乎没有工作，虽然我的时候做一个页面上的var_dump（$这个 - >配置），它表明csrf_protection是真的，但饼干没有设置，窗体上有一个隐藏字段没有值

<input type="hidden" name="ci_csrf_token" value="" />

CSRF令牌名和cookie的名称是所有设置，窗体都调用form_open（）。

任何帮助将不胜感激。

更新：所以从因安全类线的2.1.1版本构建if (config_item('csrf_protection') === TRUE) {

安全类控制器之前初始化，所以这是不可能的它自然，在控制器中的配置项的变化不会影响它。

Answer 1

我有适合您的解决方案。创建一个自定义应用程序/核心/ MY_Security.php，并把这个在它：

<?php if (!defined('BASEPATH')) exit('No direct script access allowed'); 

class MY_Security extends CI_Security 
{ 
    public function csrf_verify() 
    { 
     foreach (config_item('csrf_excludes') as $exclude) 
     { 
      $uri = load_class('URI', 'core'); 
      if (preg_match($exclude, $uri->uri_string()) > 0) 
      { 
       // still do input filtering to prevent parameter piggybacking in the form 
       if (isset($_COOKIE[$this->_csrf_cookie_name]) && preg_match('#^[0-9a-f]{32}$#iS', $_COOKIE[$this->_csrf_cookie_name]) == 0) 
       { 
        unset($_COOKIE[$this->_csrf_cookie_name]); 
       } 
       return; 
      } 
     } 
     parent::csrf_verify(); 
    } 
} 

这将检查，你需要把你的应用程序/ config.php文件中CSRF段以下不包括：

$config['csrf_excludes'] = array 
    ('@^/?excluded_url_1/?@i' 
    , '@^/?excluded_url_2/?@i'); 

CSRF检查将排除每个匹配的URL模式。您可以在http://rubular.com

欢呼