本文详细解释了VerbFilter的作用与配置方法,并通过实例展示了如何限制或允许特定动作的HTTP请求方式,同时介绍了如何在请求处理中区分GET与POST请求,并演示了如何在Web应用中实现CSRF防范策略。
1、VerbFilter
VerbFilter 是针对 HTTP 请求方式的过滤器,作用是定义访问指定动作所允许的HTTP请求,若不允许的HTTP请求到来,则会抛出一个 HTTP 405 错误。若不指定允许的请求方式,则默认允许当所有类型的请求方式 。
接下来,试一试 VerbFilter 的简单使用。
首先,在 SiteController 中添加代码
public function actionInfo()
{
return \Yii::createObject([
'class' => 'yii\web\Response',
'format' => \yii\web\Response::FORMAT_JSON,
'data' => [
'message' => 'hello world',
'code' => 100,
],
]);
} FORMAT_JSON 格式化的字符串使用URL:http://localhost/basic/web/index.php?r=site/info 访问的时候,成功返回
{"message":"hello world","code":100}接着,在 behaviors() 中添加代码
public function behaviors()
{
return [
... ...
'verbs' => [
'class' => VerbFilter::className(),
'actions' => [
'logout' => ['post'],
'info' => ['post'],
],
],
];
}此时,使用RESTClient工具,选择 GET 请求方式进行访问的时候,返回 405 错误
再次修改代码,
public function behaviors()
{
return [
... ...
'verbs' => [
'class' => VerbFilter::className(),
'actions' => [
'logout' => ['post'],
'info' => ['post','get'],
],
],
];
}{"message":"hello world","code":100}此时使用工具 RESTClient ,通过 post 发送请求,返回 405 错误。
这时候,修改 web.php 文件,
'request' => [
// !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
'cookieValidationKey' => '4mWc84oNsYJpc-nnnjMwyOOiCTgcThig',
'enableCookieValidation' => false,
'enableCsrfValidation' => false,
], 'enableCookieValidation' => false,
'enableCsrfValidation' => false,注:CSRF验证
因为Web网页访问的时候,form表单中会有对应的一个隐藏
input:_csrf进行验证,验证通过才可以正常进行访问;而非网页访问方式(不通过Web表单,例如用命令行CURL请求)是无法通过
csrf验证的。2、HTTP 请求处理
在 SiteController 中添加代码
public function actionApitest(){
$request = Yii::$app->request;
if ($request->isGet) {
echo "the request method is GET" . "\n";
echo "-------\$request->get('id')---------\n";
$id = $request->get('id');
// equivalent to: $id = isset($_GET['id']) ? $_GET['id'] : null;
echo $id . "\n";
echo "-------\$request->get('id','null')---------\n";
$id = $request->get('id','null');
// equivalent to: $id = isset($_GET['id']) ? $_GET['id'] : 1;
echo $id . "\n";
}
if ($request->isPost) {
echo "the request method is POST" . "\n";
echo "-------\$_POST------------------\n";
echo var_dump($_POST) . "\n";
echo "-------php://input-------------\n";
$content = file_get_contents('php://input');
echo $content . "\n";
//echo json_encode($content). "\n";
echo "-------request->post('message', 'other')---------\n";
$message = $request->post('message', 'null');
echo $message ;
}
}the request method is GET
-------$request->get('id')---------
1
-------$request->get('id','null')---------
1用GET方式请求 URL:http://localhost/basic/web/index.php?r=site/apitest,返回
the request method is GET
-------$request->get('id')---------
-------$request->get('id','null')---------
null用POST方式请求 URL:http://localhost/basic/web/index.php?r=site/apitest,Body填充值:
{
"message": "hello world",
"code": 100
}
the request method is POST
-------$_POST------------------
array(0) {
}
-------php://input-------------
{
"message": "hello world",
"code": 100
}
-------request->post('message', 'other')---------
null
扫一扫
286
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
