我知道这个问题已经有答案了,但是我以类似的方式解决了它,而没有对CI核心进行修改。 我在我的application/config/config.php文件中添加了以下内容:
$config['csrf_ignore'] = array('api');
数组中可以包含您喜欢的任何路径。上面的示例将适用于以“api”开头的任何路径。
然后,我添加了以下文件:application/core/MY_Input.php:
<?php if ( ! defined('BASEPATH')) exit('No direct script access allowed');
class MY_Input extends CI_Input
{
function _sanitize_globals()
{
$ignore_csrf = config_item('csrf_ignore');
if (is_array($ignore_csrf) && count($ignore_csrf))
{
global $URI;
$haystack = $URI->uri_string();
foreach($ignore_csrf as $needle)
{
if (strlen($haystack) >= strlen($needle) && substr($haystack, 0, strlen($needle)) == $needle)
{
$this->_enable_csrf = FALSE;
break;
}
}
}
parent::_sanitize_globals();
}
}
/* EOF: MY_Input */
我是codeigniter-paypal-ipn 的创作者Alex。目前,我还不知道如何在启用csrf_protection的情况下使IPN帖子正常工作。如果您查看另一种语言/框架的操作方式,例如django-paypal IPN,则它们会向特定的IPN控制器添加CSRF豁免权。
就像imm所说的那样,在CodeIgniter中这种细粒度控制将不可用,直到合并了此拉取请求的版本(如果您等不及,请尝试caseyamcl下面的方法,因为它不涉及hack CI core...)
我已更新我的项目的README,以使CSRF情况更清晰易懂。