我们可以很容易地打破ZF2的CSRF。如果我们删除连字符( -
)后面的字符串,则CsrfValidator
不会给出任何错误,并且令牌已成功提交。
例如,CSRF token = 245454547kck-kjhjh2454dh
在编辑令牌后token = 245454547kck-
ZF2 成功提交表单,但它必须给出错误。
任何人都可以检查一下,让我知道是否有解决此问题的方法。
对于上述场景,我们使用:
$csrfValidator = new CsrfValidator(array(
'name'=> 'token_name',//(here i used 'csrf' also)
'salt'=> 'test_salt',
));
$csrf = new CsrfElement('token_name');
$csrf->setCsrfValidator($csrfValidator);
$this->add($csrf);
$this->csrf = $csrf;
验证人 :
$inputFilter->add(
$factory->createInput(array(
'name' => 'token_name',
'required' => true,
'validators' => array(
$this->csrf->getCsrfValidator()
)
))
);
请提供解决方案。
据我从代码中可以看出,这是预期行为,以保持向后兼容性。
字符串的第二部分是一个令牌 ID(不是实际的反 CSRF 令牌),用于跟踪同一会话中的多个反 CSRF 令牌。如果在验证期间未设置 ID(如示例中所示),则代码仅检查会话存储中的哈希。源代码表明这是为了避免 BC 中断(见源代码)
如果您确实想强制执行令牌 ID,您可以扩展ZendValidatorCsrf
并覆盖getValidationToken()
(即删除 BC 代码):
class MyCustomCsrf extends ZendValidatorCsrf
{
/**
* Get validation token
*
* Retrieve token from session, if it exists.
*
* @override
* @param string $tokenId
* @return null|string
*/
protected function getValidationToken($tokenId = null)
{
$session = $this->getSession();
if ($tokenId && isset($session->tokenList[$tokenId])) {
return $this->formatHash($session->tokenList[$tokenId], $tokenId);
}
return;
}
}