CodeIgniter怎样启用CSRF保护_CodeIgniter启用CSRF保护方法【安全】

CodeIgniter中CSRF保护需按版本正确启用：CI4通过Filters.php全局或路由级注册csrf过滤器并配置Security.php；CI3在config.php启用csrf_protection并配合表单与input-post校验；AJAX需动态同步token。

在CodeIgniter应用中处理表单或AJAX请求时，如果突然遭遇403拒绝访问或500内部错误，先别急着排查业务逻辑。一个常见且容易被忽略的“元凶”，往往是CSRF保护没有正确配置。不同版本的CodeIgniter，启用方式差异不小，用错了方法，防护就等于形同虚设。

下面就来详细拆解针对不同版本的多种启用方法，帮你一步到位解决问题。

一、CodeIgniter 4 全局启用CSRF过滤器

首先要明确一点：CI4的CSRF防护机制和CI3有本质不同。它不再是一个简单的配置开关，而是深度依赖过滤器（Filter）机制。如果你没有将‘csrf’过滤器显式注册到请求的生命周期中，那么所有POST请求都会绕过验证，防护自然无从谈起。

1、打开app/Config/Filters.php文件，这是所有过滤器的控制中心。

2、在$globals数组的'before'键中，添加csrf过滤器。代码看起来是这样的：'before' => ['csrf']。这一步是告诉框架，在所有路由执行前，先过一遍CSRF检查。

3、光注册过滤器还不够，需要确认app/Config/Security.php文件中的$csrfProtection配置项已经设置为'cookie'或'session'（推荐‘cookie’）。

4、同时，检查$csrfRegenerate选项。通常建议设为true，这样每次成功的请求后都会刷新令牌，安全性更高。

5、最后，确保所有表单视图都使用了这个辅助函数来生成隐藏域。如果喜欢手动控制，对应的HTML代码是：。前后端令牌对不上，请求就会被无情拦截。

二、CodeIgniter 4 路由级条件启用

全局启用虽然省事，但有时我们只想对特定的、敏感的路由（比如用户登录、支付回调）施加CSRF防护，以避免不必要的性能开销，并提升灵活性。这时，路由级启用就是更优雅的选择。

1、同样在app/Config/Filters.php文件中，找到$methods数组。

2、你可以为特定的HTTP方法绑定过滤器。例如，只想防护POST请求，可以这样写：'post' => ['csrf']。

3、更精细的做法是在app/Config/Routes.php中，为敏感路由创建分组或指定命名空间，然后将过滤器绑定到这个分组上。

4、CI4也支持更直接的语法，在定义路由时关联过滤器：$route['login'] = ['filter' => 'csrf', 'handler' => 'Auth::login']。

5、如何验证是否生效？很简单，尝试向/login发送一个不携带CSRF令牌的POST请求，如果配置正确，你应该会收到一个干净的403状态码。

三、CodeIgniter 3 启用基础CSRF保护

相较于CI4，CI3的启用方式要直观得多，采用的是经典的配置驱动模式。但切记，开启配置只是第一步，表单输出和输入校验必须同步跟上，否则防护链就会断裂。

1、找到并编辑application/config/config.php这个核心配置文件。

2、将$config['csrf_protection']的值从FALSE改为TRUE。这是总开关。

3、同时，建议你设置一下令牌名和Cookie名，避免使用默认值，增加一点安全性：$config['csrf_token_name'] = 'csrf_test_name' 和 $config['csrf_cookie_name'] = 'csrf_cookie_name'（名字可以自定义）。

4、在视图层的表单中，最省心的办法是使用CodeIgniter的表单辅助函数：，它会自动注入隐藏的CSRF字段。如果手写HTML表单，则需要手动插入：。

5、在控制器中接收POST数据时，务必使用$this->input->post(null, TRUE)。第二个参数设为TRUE，会同时启用XSS过滤和CSRF校验，这是双重保险。

四、CodeIgniter 3 动态条件启用CSRF

有时候，我们只希望/login或/register这类敏感路径受到保护，而API接口或静态资源路由则不需要。通过运行时动态判断配置，可以实现这种细粒度的控制。

1、还是在application/config/config.php文件中操作，但位置很关键。

2、在$config数组定义之前，添加一段条件逻辑。利用$_SERVER['REQUEST_URI']来检测当前请求的路径：

if (stripos($_SERVER['REQUEST_URI'], '/login') !== FALSE || stripos($_SERVER['REQUEST_URI'], '/register') !== FALSE) {
$config['csrf_protection'] = TRUE;
} else {
$config['csrf_protection'] = FALSE;
}

3、确保这段逻辑在配置文件加载初期、$config数组被使用之前就执行。

4、验证时，分别访问/login提交表单和访问/public等路径，前者应正常校验令牌，后者则应忽略。

5>需要特别注意：这种方法依赖于CI3的标准路由和引导流程。对于直接访问的非PHP脚本，或者某些特殊的路由处理方式，它可能无法生效。

五、AJAX请求专用CSRF适配方案

AJAX提交失败，十有八九是令牌同步出了问题。页面加载时生成的令牌，在后续的AJAX请求中可能已经失效（如果开启了令牌刷新）。因此，需要前后端协同，建立一个动态的令牌同步机制。

1、后端需要在每个HTTP响应头中，添加最新的CSRF令牌。例如，在响应头中加入：X-CSRF-TOKEN: 。

2、前端Ja vaScript需要监听每一个AJAX响应，从响应头中提取出这个新的令牌，并更新到一个全局变量中。代码大致如下：window.csrfToken = xhr.getResponseHeader('X-CSRF-TOKEN');。

3、之后，所有发起的AJAX请求，都在其headers中携带这个最新的令牌：'X-CSRF-TOKEN': window.csrfToken。

4、如果使用CI3，并且觉得令牌刷新带来太多麻烦，可以设置$config['csrf_regenerate'] = FALSE来禁用它。但要知道，这会略微降低防护强度。

5>这里有一个关键提示，务必牢记：绝对不要在$.ajaxSetup或类似全局配置中硬编码初始的token值。因为一旦令牌刷新，硬编码的值就失效了，会导致第二次及以后的AJAX请求全部失败。