boa框架开发手册v5.2

安全配置

config.php

'CRYPT' => [
	//加密解密
],
'SECURITY' => [
	'cors' => [
		//跨域请求授权
	],
	'csrf' => [
		//跨站访问伪造防御
	],
	'xss' => [
		//跨站脚本攻击防御
	]
],
'FILTER' => '', //变量验证

CRYPT配置

配置项默认值类型说明
cipheraes-128-cbcstring密码学方式,openssl_get_cipher_methods()值之一
keystring加解密key
options0int以下标记的按位或:OPENSSL_RAW_DATA,OPENSSL_ZERO_PADDING
ivnullstring初始化向量
tagstring使用AEAD密码模式(GCM或CCM)时传引用的验证标签
aadstring附加的验证数据
以上6个配置用于对称加解密enc()和dec()
public_keyBS_VAR .'crypt/rsa_public.pem'string公钥证书,用于公钥加解密public_enc()和public_dec()
private_keyBS_VAR .'crypt/rsa_private.pem'string私钥证书,用于私钥加解密private_enc()和private_dec()
private_passstring私钥证书密码
sign_algsha1string签名算法,openssl_get_md_methods()值之一,用于签名sign()和验签verify()

SECURITY['cors']配置

配置项默认值类型说明
originstring接受的源(协议+域名+端口),多个用逗号(,)隔开,*号表示接受所有
credentialstruebool是否允许发送Cookie
headersstring接受除基本HTTP头以外的额外头信息字段,逗号分隔
methodsGET,POSTstring接受的请求动作

SECURITY['csrf']配置

配置项默认值类型说明
keyCSRF-TOKENstring存储或传送token的键名
type1int校验类型;0=关闭,1=前端方式,2=后端方式,3=混合方式
expire0inttoken有效期,0=不限
deletetruebool验证后是否自动清除token

SECURITY['xss']配置

配置项默认值类型说明
tags['script', 'base']array过滤HTML标签,忽略大小写
events['on*']array过滤DOM事件, *代表正则[a-z]+,忽略大小写

FILTER配置

配置项默认值类型说明
FILTERhtmlspecialcharsstring可选;默认过滤器,自动变量验证时如未设置过滤器,则使用此值