11

我创建了一个 Symfony2 表单并将其绑定到请求。在继续处理表格的其余部分之前,我需要明确确保 CSRF 令牌是否有效/无效。

$form['_token']->isValid()抛出OutOfBoundsException消息“子 _token 不存在”。

我仍然可以验证呈现的表单是否包含_token字段。如果 CSRF 值无效,则$form->isValid()返回 false。

我在这里想念什么?

更新1:

控制器(部分):

private function buildTestForm() {
    $form = $this->createFormBuilder()
            ->add('name','text')
            ->getForm();
    return $form;
}

/**
 * @Route("/test/show_form", name="test.form.show")
 * @Method("GET")
 */
public function showFormTest()
{
    $form = $this->buildTestForm();
    return $this->render('TestBundle::form_test.html.twig', array('form' => $form->createView()));
}

/**
 * @Route("/test/submit_form", name="test.form.submit")
 * @Method("POST")
 */
public function formTest()
{
    $form = $this->buildTestForm();
    $form->bind($this->getRequest());
    if ($form['_token']->isValid()) {
        return new Response('_token is valid');
    } else {
        return new Response('_token is invalid');
    }
}

模板

{# Twig template #}
<form action="{{ path('test.form.submit') }}" method="post" {{ form_enctype(form) }}>
    {{ form_widget(form) }}
    <input type="submit" name="go" value="Test Form" />
</form>
4

4 回答 4

11

除了artworkad,您还可以指定意图:

枝条:

<form method="post">
    <input type="text" name="form_name[field]" value="" />
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('form_name') }}">
</form>

PHP:

$token = $request->request->get('_csrf_token');
$csrf_token = new CsrfToken('form_name', $token);
var_dump($this->get('security.csrf.token_manager')->isTokenValid($csrf_token));

或不:

枝条:

<form method="post">
    <input type="text" name="field" value="" />
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('') }}">
</form>

PHP:

$token = $request->request->get('_csrf_token');
$csrf_token = new CsrfToken('', $token);
var_dump($this->get('security.csrf.token_manager')->isTokenValid($csrf_token));
于 2014-08-28T10:03:04.890 回答
11

没有记录的手动检查 csrf 令牌的方法。Symfony 自动验证这个令牌的存在和准确性。http://symfony.com/doc/current/book/forms.html#csrf-protection

但是有一个 csrf 提供程序:

http://api.symfony.com/2.0/Symfony/Component/Form/Extension/Csrf/CsrfProvider/SessionCsrfProvider.html

http://api.symfony.com/master/Symfony/Component/Form/Extension/Csrf/CsrfProvider/DefaultCsrfProvider.html

标记能够提供 CSRF 保护的类 您可以使用方法 generateCsrfToken() 生成 CSRF 令牌。对于此方法,您应该传递一个对页面唯一的值,该值应该受到保护以免受 CSRF 攻击。这个值不一定是秘密的。这个接口的实现负责添加更多的秘密信息。

如果你想保护表单提交免受 CSRF 攻击,你可以提供一个“意图”字符串。这样可以确保表单只能绑定到旨在处理表单的页面,即使用相同的意图字符串通过 isCsrfTokenValid() 验证 CSRF 令牌。

您可以像这样检索提供者

$csrf = $this->get('form.csrf_provider');

然后可以使用

public Boolean isCsrfTokenValid(string $intention, string $token)

Validates a CSRF token.

参数 string $intention 生成 CSRF 令牌时使用的意图 字符串 $token 浏览器提供的令牌

返回值 Boolean 浏览器提供的令牌是否正确

您需要找出表单使用的意图字符串。

SO上的一些有趣的帖子:

Symfony CSRF 和 Ajax

Symfony2 与 CSRF 令牌链接

于 2013-02-24T10:49:28.923 回答
1

另一种方法(如果您更喜欢 DI)在控制器之外(例如在侦听器中)验证令牌:

/** @var Symfony\Component\Security\Csrf\CsrfTokenManagerInterface */
private $csrfTokenManager;

public function __construct(CsrfTokenManagerInterface $csrfTokenManager) 
{
    $this->csrfTokenManager = $csrfTokenManager;
}

public function isValid(): bool
{
    return $this->csrfTokenManager->isTokenValid(
            new CsrfToken('authenticate', $request->getRequest()->headers->get('X-CSRF-TOKEN'))
        );
}
于 2019-02-14T12:49:06.057 回答
0

我不确定这一点,但您是否在未映射的字段上尝试过验证器:

$violations = $this->get('validator')->validatePropertyValue($entity, '_token', $form['_token']);
if (count($violations)) {
    // the property value is not valid
}
于 2013-02-24T18:21:03.700 回答