DS
Да, через абстактый контроллер вполне
Как раньше у нас было
Size: a a a
2020 August 21
AM
Да, через абстактый контроллер вполне
Да ну кто в своём уме будет осознанно собирать конкатенацией HTML? :)
DS
Да ну кто в своём уме будет осознанно собирать конкатенацией HTML? :)
ну так в абсрактом контроллере все собирается, ты только вызываешь в экшине
$this->render('view', ['_csrf' => $csrf->getToken()])
$this->render('view', ['_csrf' => $csrf->getToken()])
DS
В общем, для начала как минимум надо разобрать yii-web
DS
мв в пакете yii-view как-то не логично
Пока там сделай, а потом вынесем если что
СП
Пока там сделай, а потом вынесем если что
мв перенести в yii-view ?
DS
мв перенести в yii-view ?
Ну я в смысле, чтобы сделал CsrfToken и CsrfMiddleware в yii-view
AM
ну так в абсрактом контроллере все собирается, ты только вызываешь в экшине
$this->render('view', ['_csrf' => $csrf->getToken()])
$this->render('view', ['_csrf' => $csrf->getToken()])
Так это мы юзаем view renderer.
AM
Ну я в смысле, чтобы сделал CsrfToken и CsrfMiddleware в yii-view
А вот мидлварь сама универсальная.
AM
Её я бы или оставил в yii-web или перенёс в отдельный пакет.
DS
Её я бы или оставил в yii-web или перенёс в отдельный пакет.
Ну так в отдельный и с токеном, тебе ж и предлагаем yiisoft/csrf
СП
Ну так в отдельный и с токеном, тебе ж и предлагаем yiisoft/csrf
именно, да
СП
Но только yii-csrf, она ведь в конечном итоге будет зависить от yii-сессий
AM
А, это можно :)
AM
Хм хм
DS
Но только yii-csrf, она ведь в конечном итоге будет зависить от yii-сессий
А почему сесси yii-, там нет зависимостей, просто yiisoft/session
AM
В принципе пофиг где хранить CSRF-токен. Главное его пустить по двум независимым каналам, один из которых атакующему недоступен.
AM
То есть потенциально можно и не в сессию его пихать.
AM
Но это ладно...
DS
В принципе пофиг где хранить CSRF-токен. Главное его пустить по двум независимым каналам, один из которых атакующему недоступен.
Ну как по мне в контейнере более универсальн