深入理解 cookie 在 Yii 2 中的實現原理

為了方便維護,Yii 封裝了 cookie 的操作方法,在實現了常規 cookie 讀寫的基礎上,還增加了 cookie 驗證功能,用來防止 cookie 在客戶端被修改。本文將詳細解析 cookie 的實現過程。

參考類:
yii\base\Security - 哈希值生成和校驗
yii\web\Cookie - 對 cookie 的封裝
yii\web\CookieCollection - yii\web\Cookie 的集合
yii\web\Request - 讀取客戶端提交的 cookie
yii\web\Response - 向客戶端發送 cookie

在 Yii 中,[[yii\web\Cookie]] 代表cookie,Web 請求和響應通過 [[yii\web\Request]], [[yii\web\Response]] 兩個類來處理,而 cookie 的讀取和發送也是在其中完成的。為了弄清 Yii 處理 cookie 的整個流程,下面通過實際場景逐步解析。

使用 [[yii\web\Response]] 發送 cookies

$cookies = Yii::$app->response->cookies;
$cookies->add(new \yii\web\Cookie([
    'name' => 'language',
    'value' => 'zh-CN',
]);
// 刪除一個cookie
$cookies->remove('language');
// 等同于以下刪除代碼
unset($cookies['language']);

通過代碼不難發現 [[yii\web\Response]] 通過一個 cookies 屬性維護一個集合類
[[yii\web\CookieCollection]],寫入 cookie 的方法是向這個集合中增加 [[yii\web\Cookie]] 。在 response 發送前,會調用 [[yii\web\Response::sendCookies()]] 方法,每個 cookie 在發送之前會經過哈希算法處理之后生成新的值,保證 cookie 無法在客戶端修改。

// Method in yii\web\Response
protected function sendCookies()
{
    if ($this->_cookies === null) {
        return;
    }
    $request = Yii::$app->getRequest();
    if ($request->enableCookieValidation) {
        if ($request->cookieValidationKey == '') {
            throw new InvalidConfigException(get_class($request) . '::cookieValidationKey must be configured with a secret key.');
        }
        $validationKey = $request->cookieValidationKey;
    }
    foreach ($this->getCookies() as $cookie) {
        $value = $cookie->value;
        if ($cookie->expire != 1  && isset($validationKey)) {
            // 哈希處理 
            $value = Yii::$app->getSecurity()->hashData(serialize([$cookie->name, $value]), $validationKey);
        }
        setcookie($cookie->name, $value, $cookie->expire, $cookie->path, $cookie->domain, $cookie->secure, $cookie->httpOnly);
    }
}

經過處理的 cookie 格式如下:
cd5c6293a1d65b62a2acdd426e230b588fda5a9e546f7d874d1b68e54642fcb1a%3A2%3A%7Bi%3A0%3Bs%3A8%3A%22language%22%3Bi%3A1%3Bs%3A5%3A%22zh-CN%22%3B%7D

如果經過哈希處理的 cookie 在客戶端被修改將被yii\web\Request 過濾。

使用 [[Yii\web\Request]] 讀取 cookies

$cookies = Yii::$app->request->cookies;

// 獲取名為 "language" cookie 的值,如果不存在,返回默認值"en"
$language = $cookies->getValue('language', 'en');

// 另一種方式獲取名為 "language" cookie 的值
if (($cookie = $cookies->get('language')) !== null) {
    $language = $cookie->value;
}

// 可將 $cookies當作數組使用
if (isset($cookies['language'])) {
    $language = $cookies['language']->value;
}

// 判斷是否存在名為"language" 的 cookie
if ($cookies->has('language')) ...
if (isset($cookies['language'])) ...

和 [[yii\web\Response]] 一樣 ,[[yii\web\Request]] 也通過 cookies 維護 CookieCollection ,服務端接收到的所有 cookie 會在驗證后放進 cookies 中,以供讀取。

// Method in yii\web\Request
protected function loadCookies()
{
    $cookies = [];
    if ($this->enableCookieValidation) {
        if ($this->cookieValidationKey == '') {
            throw new InvalidConfigException(get_class($this) . '::cookieValidationKey must be configured with a secret key.');
        }
        foreach ($_COOKIE as $name => $value) {
            if (!is_string($value)) {
                continue;
            }
            // 哈希校驗
            $data = Yii::$app->getSecurity()->validateData($value, $this->cookieValidationKey);
            if ($data === false) {
                continue;
            }
            $data = @unserialize($data);
            if (is_array($data) && isset($data[0], $data[1]) && $data[0] === $name) {
                $cookies[$name] = new Cookie([
                    'name' => $name,
                    'value' => $data[1],
                    'expire' => null,
                ]);
            }
        }
    } else {
        foreach ($_COOKIE as $name => $value) {
            $cookies[$name] = new Cookie([
                'name' => $name,
                'value' => $value,
                'expire' => null,
            ]);
        }
    }

    return $cookies;
}

更多

  1. 如需關閉 cookie 驗證,設置 [[yii\web\Request::enableCookieValidation]] 為 false,盡量不要這樣做。
  2. 即便請求中的某個 cookie 未被驗證,你仍然可以使用 $_COOKIE 訪問這個未通過驗證的cookie。
  3. 為防止 XSS 攻擊,[[yii\web\Cookie]] 默認開啟 httpOnly,此時cookie 無法被
    Javascript 訪問,如需關閉請設置 httpOnly 為 false 。
$cookie = new \yii\web\Cookie([
    'name' => 'language',
    'value' => 'zh-CN',
    'httpOnly' => false,
])

參考文檔:
https://github.com/yiisoft/yii2/blob/master/docs/guide/runtime-sessions-cookies.md

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 230,825評論 6 546
  • 序言:濱河連續發生了三起死亡事件,死亡現場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機,發現死者居然都...
    沈念sama閱讀 99,814評論 3 429
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 178,980評論 0 384
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 64,064評論 1 319
  • 正文 為了忘掉前任,我火速辦了婚禮,結果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當我...
    茶點故事閱讀 72,779評論 6 414
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發上,一...
    開封第一講書人閱讀 56,109評論 1 330
  • 那天,我揣著相機與錄音,去河邊找鬼。 笑死,一個胖子當著我的面吹牛,可吹牛的內容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 44,099評論 3 450
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側響起,我...
    開封第一講書人閱讀 43,287評論 0 291
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后,有當地人在樹林里發現了一具尸體,經...
    沈念sama閱讀 49,799評論 1 338
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 41,515評論 3 361
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發現自己被綠了。 大學時的朋友給我發了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 43,750評論 1 375
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,221評論 5 365
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質發生泄漏。R本人自食惡果不足惜,卻給世界環境...
    茶點故事閱讀 44,933評論 3 351
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,327評論 0 28
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,667評論 1 296
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個月前我還...
    沈念sama閱讀 52,492評論 3 400
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 48,703評論 2 380

推薦閱讀更多精彩內容

  • 細說Cookie 閱讀目錄 開始 Cookie 概述 Cookie的寫、讀過程 使用Cookie保存復雜對象 Js...
    拉肚閱讀 1,118評論 0 4
  • Spring Cloud為開發人員提供了快速構建分布式系統中一些常見模式的工具(例如配置管理,服務發現,斷路器,智...
    卡卡羅2017閱讀 134,836評論 18 139
  • yii處理http請求時,執行的流程是這樣的: 1、服務器接收到來自客戶端(比如瀏覽器)的請求,服務器(比如ngi...
    小羊羊愛吃飯閱讀 718評論 0 0
  • 未聞花名。 銀白色的發絲,飄揚在朝陽映著的天空。----我喜歡仁太是想要當仁太媳婦的喜歡。 友情與愛情交錯的青澀。...
    軟妹收割機閱讀 253評論 0 1
  • 番石榴其實一直都是減肥的好幫手,但是卻很少人知道。番石榴的熱量低,膳食纖維豐富,飽腹感很強,是減肥的最佳選擇。番...
    77jf閱讀 513評論 0 0