我对 CakePHP (v3.7) 比较陌生。我有一个应用程序,其中出现“缺少 Csrf 令牌 Cookie”错误。
在 Application.php 中,我有:
$options = []; // I'm fine with the default options.
$csrf = new CsrfProtectionMiddleware($options);
$middlewareQueue->add($csrf);
表单页面有一个隐藏的表单元素,其中包含_csrfToken。我很困惑为什么在 POST 上找不到它?
进一步挖掘,我发现在CsrfProtectionMiddleware.php中,下面的_validateToken()函数的行为如下:
$cookies为null(没有设置 cookie。)因此,$cookie为null。
$post实际上包含了页面隐藏参数中的_csrfToken参数的内容。但是,该功能从不查看它。因为$cookie为 null,所以if(!$cookie)语句会导致抛出InvalidCsrfTokenException 。
protected function _validateToken(ServerRequest $request)
{
$cookies = $request->getCookieParams();
$cookie = Hash::get($cookies, $this->_config['cookieName']);
$post = Hash::get($request->getParsedBody(), $this->_config['field']);
$header = $request->getHeaderLine('X-CSRF-Token');
if (!$cookie) {
throw new InvalidCsrfTokenException(__d('cake', 'Missing CSRF token cookie'));
}
if (!Security::constantEquals($post, $cookie) && !Security::constantEquals($header, $cookie)) {
throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'));
}
}
}
显然,除了隐藏参数之外,中间件还需要一个实际的 cookie。这个 cookie 设置在哪里(或应该设置?)
更新:
我检查了浏览器端。正在设置 cookie,但浏览器没有在 POST 请求中返回它。
这是 CakePHP 对填充页面的原始 GET 请求的响应:
Connection: Keep-Alive
Content-Length: 3013
Content-Type: text/html; charset=UTF-8
Date: Wed, 08 May 2019 23:07:31 GMT
Keep-Alive: timeout=5, max=100
Server: Apache/2.4.33 (Unix) PHP/7.1.1
Set-Cookie: csrfToken=b553dd2e06e57f6d514ee41a120e1c60084adafddfbaa6f72db1f7f590fcf50143876ac817d29d6f1cf9a786031d6235ba21e265b9d3b2a0ee4535854f048b66; path=/webroot/
X-Powered-By: PHP/7.1.1
注意 csrfToken cookie。...这是浏览器与表单数据一起发回的 POST
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 184
Content-Type: application/x-www-form-urlencoded
DNT: 1
Host: *************
Origin: ****************
Pragma: no-cache
Referer: ***************
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36
查询字符串参数
redirect: /Users/login
表格数据
_method: POST
_csrfToken: b553dd2e06e57f6d514ee41a120e1c60084adafddfbaa6f72db1f7f590fcf50143876ac817d29d6f1cf9a786031d6235ba21e265b9d3b2a0ee4535854f048b66
username: xxxxxxxxxx
password: xxxxxxxxxx
请注意,它发送回隐藏的表单参数_csrfToken,而不是 cookie。
谢谢你的帮助...