CodeIgniter防范CSRF攻击技巧

CodeIgniter的CSRF防护并非简单开启配置即可生效，而是一个需要前后端协同、四步缺一不可的严谨流程：CI4必须在Filters.php中显式注册csrf过滤器并确保类引用正确，否则即使配置了Security.php中的token策略也形同虚设；CI3虽通过$config['csrf_protection']=TRUE启用，却依赖开发者手动在表单中插入隐藏token字段，并严格使用form_open()或$this->input->post(null, TRUE)进行安全读取——任何一环疏漏都会导致token仅被生成却从未被验证，让应用在看似“已防护”的假象下暴露于CSRF攻击风险之中。

CSRF保护在CodeIgniter中不是“设个开关就生效”的功能，必须同时满足配置、过滤器注册、表单输出、前端同步四个条件，缺一不可；否则你看到的只是 token 生成了，但验证压根没跑。

CI4 必须在 Filters.php 中显式注册 csrf 过滤器

光改 app/Config/Security.php 里的 $csrfProtection = 'cookie' 或 $csrfRegenerate = true，只是准备好了 token 存储方式——不把它挂进请求生命周期，所有 POST 请求都会绕过校验。

• 打开 app/Config/Filters.php，在 $globals['before'] 数组里加上 'csrf'：

  $globals = ['before' => ['csrf']]

• 若只想保护部分路由（如登录、支付），改用 $methods['post'] = ['csrf']，再配合 Routes.php 中的 $route['login'] = ['filter' => 'csrf', 'handler' => 'Auth::login']
• 检查 app/Config/Filters.php 顶部是否已声明 use CodeIgniter\Filters\CSRF;，否则类名解析失败，过滤器静默失效

CI3 启用后仍需手动配合表单与输入方法

$config['csrf_protection'] = TRUE 写进 application/config/config.php 是起点，不是终点。CI3 不依赖过滤器机制，但要求你“手把手”把 token 塞进表单、再让框架从正确入口读取。

• 表单中必须包含隐藏域：

  <input type="hidden" name="= $this->security->get_csrf_token_name() ?>" value="= $this->security->get_csrf_hash() ?>">

  或直接用 form_open() 自动注入
• 控制器中获取数据时，必须用 $this->input->post(null, TRUE) —— 第二个参数 TRUE 才触发 CSRF 校验；只写 $this->input->post('field') 就等于没开保护
• 若用 AJAX 提交，data 字段里要带上 token 名值对，不能只靠 header 传（CI3 默认不检查 header）

AJAX 请求 token 失效的典型原因和修复

CI4 默认 $csrfRegenerate = true，每次请求都刷新 token。前端如果只在页面加载时取一次 csrf_token() 和 csrf_hash()，第二次 AJAX 就必然 403。

• 别用 $.ajaxSetup({ headers: { 'X-CSRF-TOKEN': 'xxx' } }) 硬编码初始值——那是快照，发两次就废
• 推荐做法：在每次成功响应（尤其是 JSON 返回）里附带新 token，例如：

  { "status": "success", "csrf_token": "new_token_name", "csrf_hash": "new_hash_value" }

  ，然后全局更新 window.csrfData = { token: ..., hash: ... }
• API 类型上传（如 Uppy）建议走 header 方式，后端需在 OPTIONS 预检响应中加 Access-Control-Allow-Headers: X-CSRF-TOKEN，否则跨域请求头被浏览器拦截

手动生成表单或 JS 动态提交时最容易漏掉隐藏域

DataTable 行点击提交、Uppy 文件上传、Vue/React 动态渲染的表单，几乎不会自动调用 csrf_field()，token 字段一漏，POST 就 403，日志里还常看不到明确报错。

• CI4 模板中优先用 = csrf_field() ?>，它会一次性输出 name + value 的隐藏域
• 若需 JS 控制（比如拼接 FormData），记得每次提交前重新调用 csrf_token() 和 csrf_hash() 获取当前有效值，不能缓存
• 禁用某控制器的 CSRF（如 API 接口）可用 $except = ['api/upload'] 在控制器里声明，但务必确认该接口本身无状态变更风险

最常被忽略的一点：CSRF 保护只防“冒用合法用户身份发请求”，它不管 SQL 注入、XSS、越权访问——开了它不代表网站就安全了，只是补上了关键一环。

好了，本文到此结束，带大家了解了《CodeIgniter防范CSRF攻击技巧》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！