Что делает эта функция <?= Html::csrfMetaTags() ?> ?

semiromid · February 11, 2016, 3:51pm

Я установил Yii2, и в файле view/layouts/main.php увидел эту функцию - <?= Html::csrfMetaTags() ?>

так же я прочитал что она генерирует какие-то мета-теги от межсайтовой подделки запроса. Но не понятно что именно она делает, как защищает и в каких именно страницах HTML, она нужна?

hrnair · February 11, 2016, 4:30pm

Пожалуйста, обратитесь \vendor\yiisoft\yii2\web\Request.php.

Там вы можете получить больше объяснений.

semiromid · February 11, 2016, 4:53pm

Спасибо, но все равно не понятно в каких именно страница следует использовать этот генератор мета-тегов. Ко всем html? Или только там где будут RESTfull запросы? Я не в совершенстве владею английским языком, к сожалению.

/**

 * @var boolean whether to enable CSRF (Cross-Site Request Forgery) validation. Defaults to true.


 * When CSRF validation is enabled, forms submitted to an Yii Web application must be originated


 * from the same application. If not, a 400 HTTP exception will be raised.


 *


 * Note, this feature requires that the user client accepts cookie. Also, to use this feature,


 * forms submitted via POST method must contain a hidden input whose name is specified by [[csrfParam]].


 * You may use [[&#092;yii&#092;helpers&#092;Html::beginForm()]] to generate his hidden input.


 *


 * In JavaScript, you may get the values of [[csrfParam]] and [[csrfToken]] via `yii.getCsrfParam()` and


 * `yii.getCsrfToken()`, respectively. The [[&#092;yii&#092;web&#092;YiiAsset]] asset must be registered.


 * You also need to include CSRF meta tags in your pages by using [[&#092;yii&#092;helpers&#092;Html::csrfMetaTags()]].

hrnair · February 12, 2016, 1:30am

это используется там, где форма представления есть. Это по умолчанию, когда мы используем YII ACTIVEFORMS. Это, чтобы убедиться, что представленный форма из того же происхождения.

В случае RESTfull, сайты даже третья сторона может получить доступ к API, используя маркер авторизации. Этот случай отличается.