Короче сделал гибридным методом.
Восстанавливаем сессию по переданному ее идентификатору в POST запросе, а также форсируем изменение CSRF токена в HttpRequest. Токен берем из сессии восстановленной, а не из POST запроса (как это делают многие).
Код: Выделить всё
// Обработчик события onBeginRequest
public static function onBeginRequest()
{
if(isset($_POST['SESSION_ID'], $_POST[Yii::app()->request->csrfTokenName]))
{
$session=Yii::app()->session;
$session->close();
$session->sessionID=$_POST['SESSION_ID'];
$session->open();
Yii::app()->request->csrfToken=Yii::app()->session['csrfToken'];
Yii::app()->request->cookies[Yii::app()->request->csrfTokenName]=
new CHttpCookie(Yii::app()->request->csrfTokenName, Yii::app()->session['csrfToken']);
Yii::trace(var_export($_REQUEST, true), 'application.components.Helper');
}
}
Указываем в конфиге то, что HttpRequest у нас свой:
Код: Выделить всё
// Конфиг приложения.
'components'=>array(
'request'=>array(
'class'=>'HttpRequest',
'enableCsrfValidation'=>true,
'enableCookieValidation'=>true,
),
),
Виджет во вьюшке:
Код: Выделить всё
<div class="button">
<?php $this->widget('ext.uploadify.MUploadify',array(
'model'=>$userProfile,
'attribute'=>'avatar',
'script'=>url('signup/avatarUpload', array('key'=>$userSignup->key)),
)); ?>
</div>
Сохраняем CSRF токен в сессии (изначально он хранится в кукисах). Делать это нужно в действии контроллера, которое отображает страницу с виджетом выше.
Код: Выделить всё
// сохраняем CSRF токен в сессии — понадобится позже
Yii::app()->session['csrfToken']=Yii::app()->request->csrfToken;
Наш новый класс HttpRequest. Пришлось извернуться с тем, что $_csrfToken в CHttpRequest приватен (ну оно и понятно, ситуация немного необычная).
Код: Выделить всё
<?php
class HttpRequest extends CHttpRequest
{
protected $_customCsrfToken=null;
public function setCsrfToken($csrfToken)
{
$this->_customCsrfToken=$csrfToken;
}
public function getCsrfToken()
{
if($this->_customCsrfToken!==null)
return $this->_customCsrfToken;
return parent::getCsrfToken();
}
}
Механизм валидации загрузки файлов и самой обработки загрузки файлов стандартный (
http://www.yiiframework.com/wiki/2/how- ... ng-a-model). Полноценный пример могу сделать, если кто тоже столкнется с этим. Основное преимущество всех этих свистоплясок — это честная и правильная защита от CSRF при помощи токенов даже тогда, когда запрос осуществляется из Flash. Многие просто берут значение из $_POST, хотя это не есть безопасно.
Упоминаю теги на всякий случай для тех, кто будет искать: SWF Upload, Flash Upload, Uploadify, AJAX, upload, Flash, CSRF, token, Cookie, Cookies, Flash Cookies.
