config.php
'CRYPT' => [
//加密解密
],
'CORS' => [
//跨域请求授权
],
'SECURITY' => [
//csrf和xss防御
],
'FILTER' => '', //变量验证
CRYPT配置
| 配置项 | 默认值 | 类型 | 说明 |
|---|
| cipher | aes-128-cbc | string | 加解密方式,用openssl_get_cipher_methods()列出所支持方式 |
| key | | string | 加解密key |
| options | 0 | int | 加解密选项,可选值:OPENSSL_RAW_DATA,OPENSSL_ZERO_PADDING |
| iv | | string | 初始化向量
以上4个配置用于对称加解密enc()和dec() |
| pubkey | BS_VAR .'crypt/pubkey.pem' | string | 公钥,用于公钥加解密public_enc()和public_dec() |
| prikey | BS_VAR .'crypt/prikey.pem' | string | 私钥,用于私钥加解密private_enc()和private_dec() |
| pripass | | string | 私钥密码 |
| sign_alg | sha1 | string | 签名算法,用于签名sign()和验签verify(),用openssl_get_md_methods()列出所支持算法 |
CORS配置
| 配置项 | 默认值 | 类型 | 说明 |
|---|
| origin | | string | 接受的源(协议+域名+端口),多个用逗号(,)隔开,*号表示接受所有 |
| headers | | string | 接受除基本HTTP头以外的额外头信息字段,逗号分隔 |
| methods | GET,POST | string | 接受的请求动作 |
SECURITY配置
| 配置项 | 默认值 | 类型 | 说明 |
|---|
| xss_tags | ['script', 'base'] | array | XSS防御时,过滤HTML标签,忽略大小写 |
| xss_events | ['on*'] | array | XSS防御时,过滤DOM事件, *代表正则[a-z]+,忽略大小写 |
| csrf_key | CSRF-TOKEN | string | CSRF防御时,存储或传送token的键名 |
| csrf_type | 1 | int | CSRF防御时,校验类型;0=关闭,1=前端方式,2=后端方式,3=混合方式 |
| csrf_expire | 0 | int | CSRF防御时,token有效期(秒),0=不限 |
FILTER配置
| 配置项 | 默认值 | 类型 | 说明 |
|---|
| FILTER | | string | 如果设置,自动变量验证时如未设置过滤,则使用此值,比如:htmlspecialchars |