CakePHP 安全性
在构建 Web 应用程序时,安全性是另一个重要特性,它向网站用户保证他们的数据是安全的。CakePHP 提供了一些工具来保护你的应用程序。
加密和解密
CakePHP 中的安全库提供了加密和解密数据的方法,以下是用于相同目的的两种方法:
static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null) static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)
encrypt 方法以 text 和 key 作为参数对数据进行加密,返回值是经过 HMAC 校验的加密值。
要散列数据,hash()方法被使用,以下是 hash() 方法的语法:
static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)
CSRF
CSRF 代表跨站请求伪造,是 Web 应用程序中的常见漏洞,它允许攻击者捕获和重放先前的请求,有时还使用其他域上的图像标签或资源提交数据请求。
只需将CsrfComponent添加到你的组件数组中,就可以启用CSRF,如下所示,:
public function initialize(): void { parent::initialize(); $this->loadComponent('Csrf'); }
CsrfComponent 与表单助手.每次使用 FormHelper 创建表单时,它都会插入一个包含 CSRF 令牌的隐藏字段。
虽然不建议这样做,但你可能希望对某些请求禁用 CsrfComponent。你可以通过使用控制器的事件调度器来做到这一点,在过滤器()method.
CsrfComponent与FormHelper无缝集成,每次用FormHelper创建一个表单时,它都会自动插入一个包含CSRF令牌的隐藏字段。
你可能想在某些请求中禁用CsrfComponent,虽然不推荐这样做,但你可以通过使用控制器的事件分配器,在beforeFilter()方法中实现:
public function beforeFilter(Event $event) { $this->eventManager()->off($this->Csrf); }
安全组件
安全组件对你的应用实行更严格的安全性,它为各种任务提供了方法,例如:
限制应用接受哪些 HTTP 方法: 应该总是检查HTTP方法或使用Cake/Network/Request::allowMethod()来确保使用正确的HTTP方法;
表单篡改保护: 默认情况下,SecurityComponent 防止用户以特定方式篡改表单。 SecurityComponent 将阻止以下事情:
无法将未知字段添加到表单中;
无法从表单中删除字段;
隐藏输入中的值无法修改。
要求使用 SSL: 所有操作都需要 SSL 保护;
限制跨控制器通信: 我们可以限制哪个控制器可以向这个控制器发送请求,还可以限制哪些动作可以向该控制器的动作发送请求。
例子
修改config/routes.php文件,如下所示:
<?php use Cake\Http\Middleware\CsrfProtectionMiddleware; use Cake\Routing\Route\DashedRoute; use Cake\Routing\RouteBuilder; $routes->setRouteClass(DashedRoute::class); $routes->scope('/', function (RouteBuilder $builder) { $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([ 'httpOnly' => true, ])); $builder->applyMiddleware('csrf'); // $builder->connect('/pages', ['controller'=>'Pages','action'=>'display', 'home']); $builder->connect('login',['controller'=>'Logins','action'=>'index']); $builder->fallbacks(); });
新建src/Controller/LoginsController.php文件,并将以下代码复制到该文件中:
<?php namespace App\Controller; use App\Controller\AppController; class LoginsController extends AppController { public function initialize() : void { parent::initialize(); $this->loadComponent('Security'); } public function index(){ } } ?>
新建src/Template/Logins/index.php文件,并将以下代码复制到该文件中:
<?php echo $this->Form->create(NULL,array('url'=>'/login')); echo $this->Form->control('username'); echo $this->Form->control('password'); echo $this->Form->button('Submit'); echo $this->Form->end(); ?>
访问http://localhost/cakephp4/login执行上述示例,输出如下所示: