0

我对 CakePHP (v3.7) 比较陌生。我有一个应用程序,其中出现“缺少 Csrf 令牌 Cookie”错误。

在 Application.php 中,我有:

$options = [];        // I'm fine with the default options.
$csrf = new CsrfProtectionMiddleware($options);
$middlewareQueue->add($csrf);

表单页面有一个隐藏的表单元素,其中包含_csrfToken。我很困惑为什么在 POST 上找不到它?

进一步挖掘,我发现在CsrfProtectionMiddleware.php中,下面的_validateToken()函数的行为如下:

$cookiesnull(没有设置 cookie。)因此,$cookienull

$post实际上包含了页面隐藏参数中的_csrfToken参数的内容。但是,该功能从不查看它。因为$cookie为 null,所以if(!$cookie)语句会导致抛出InvalidCsrfTokenException 。

    protected function _validateToken(ServerRequest $request)
    {
        $cookies = $request->getCookieParams();
        $cookie = Hash::get($cookies, $this->_config['cookieName']);
        $post = Hash::get($request->getParsedBody(), $this->_config['field']);
        $header = $request->getHeaderLine('X-CSRF-Token');

        if (!$cookie) {
            throw new InvalidCsrfTokenException(__d('cake', 'Missing CSRF token cookie'));
        }

        if (!Security::constantEquals($post, $cookie) && !Security::constantEquals($header, $cookie)) {
            throw new InvalidCsrfTokenException(__d('cake', 'CSRF token mismatch.'));
        }
    }
}

显然,除了隐藏参数之外,中间件还需要一个实际的 cookie。这个 cookie 设置在哪里(或应该设置?)

更新:

我检查了浏览器端。正在设置 cookie,但浏览器没有在 POST 请求中返回它。

这是 CakePHP 对填充页面的原始 GET 请求的响应:

Connection: Keep-Alive
Content-Length: 3013
Content-Type: text/html; charset=UTF-8
Date: Wed, 08 May 2019 23:07:31 GMT
Keep-Alive: timeout=5, max=100
Server: Apache/2.4.33 (Unix) PHP/7.1.1
Set-Cookie: csrfToken=b553dd2e06e57f6d514ee41a120e1c60084adafddfbaa6f72db1f7f590fcf50143876ac817d29d6f1cf9a786031d6235ba21e265b9d3b2a0ee4535854f048b66; path=/webroot/
X-Powered-By: PHP/7.1.1

注意 csrfToken cookie。...这是浏览器与表单数据一起发回的 POST

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cache-Control: no-cache
Connection: keep-alive
Content-Length: 184
Content-Type: application/x-www-form-urlencoded
DNT: 1
Host: *************
Origin: ****************
Pragma: no-cache
Referer: ***************
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36

查询字符串参数

redirect: /Users/login

表格数据

_method: POST
_csrfToken:  b553dd2e06e57f6d514ee41a120e1c60084adafddfbaa6f72db1f7f590fcf50143876ac817d29d6f1cf9a786031d6235ba21e265b9d3b2a0ee4535854f048b66
username: xxxxxxxxxx
password: xxxxxxxxxx

请注意,它发送回隐藏的表单参数_csrfToken,而不是 cookie。

谢谢你的帮助...

4

1 回答 1

2

解决了。这原来是 Apache 中 DOCUMENT_ROOT 目录设置的问题。它被设置为 webroot 的父目录,而不是 webroot 本身。当我改变它时,一切正常。

于 2019-05-10T06:25:36.040 回答