同一个系统内使用curl模拟post请求如何不被csrf拦截方案

关于csrf的原理和在yii2内的运行建议先看之前发的一篇文 https://nai8.me/article/383

本篇我们要做一个事情，就是在同一个yii2应用中，某个action使用curl模拟表单提交到另一个action，但是你我都知道在yii2内如果发送post请求，需要经过csrf验证，那么使用curl模拟的时候如何通过csrf那？我们来实现。

模拟POST

在这里我使用yii2官方的http客户端扩展，模拟一个post请求很简单，如下代码。

$client = new Client([
    'transport' => 'yii\httpclient\CurlTransport',
]);

$response = $client->createRequest()
    ->setMethod('POST')
    ->setUrl('https://xxx.com/demo/csrf-post.html')
    ->setData([
        'username'=>'abei2017',
        '_csrf'=>Yii::$app->request->getCsrfToken()
    ])->send();

echo $response->getContent();

以上使我们最先想到的，提交一组数据到某个url，但是这样并不能得到预想的结果。

原因

之所以被yii2的csrf拦截，主要是因为使用curl模拟POST请求的时候没有奖cookie中的 _csrf 也一起发送给服务器端。这个cookie值将用于csrf的具体验证工作，那就简单了。

$client = new Client([
    'transport' => 'yii\httpclient\CurlTransport',
]);

$response = $client->createRequest()
    ->setMethod('POST')
    ->setUrl('https://xxx.com/demo/csrf-post.html')
    ->setCookies([
        ['name' => '_csrf', 'value' => urlencode($_COOKIE['_csrf'])],
    ])
    ->setData([
        'username'=>'abei2017',
        '_csrf'=>Yii::$app->request->getCsrfToken()
    ])->send();

echo $response->getContent();

ok，之所以没有使用yii2内置的cookie功能，主要是因为yii2在设置cookie的时候默认是进行加密的，而获取时候会自动解密。

如果使用yii2内置cookie组件获取，则获取是解密后的，再用来模拟就会出问题，我们需要使用curl发送一个经过加密的cookie。

当然如果你也可以配置yii2文件将cookie的加密解密去掉。

大功告成。