Comment puis-je vérifier si l'fournis jeton CSRF est invalide dans Symfony2?

J'ai créé un formulaire Symfony2 et lié à la Demande. J'ai besoin de faire en sorte que le jeton CSRF est valide/invalide avant de procéder avec le reste de la forme.

$form['_token']->isValid() jette OutOfBoundsException avec le message "Enfant _token n'existe pas."

Je peux toujours vérifier que le rendu de formulaire contient _token champ. Dans le cas où CSRF est invalide, $form->isValid() renvoie la valeur false.

Ce qui me manque ici?

Mise à jour 1:

Contrôleur (partielle):

private function buildTestForm() {
    $form = $this->createFormBuilder()
            ->add('name','text')
            ->getForm();
    return $form;
}

/**
 * @Route("/test/show_form", name="test.form.show")
 * @Method("GET")
 */
public function showFormTest()
{
    $form = $this->buildTestForm();
    return $this->render('TestBundle::form_test.html.twig', array('form' => $form->createView()));
}

/**
 * @Route("/test/submit_form", name="test.form.submit")
 * @Method("POST")
 */
public function formTest()
{
    $form = $this->buildTestForm();
    $form->bind($this->getRequest());
    if ($form['_token']->isValid()) {
        return new Response('_token is valid');
    } else {
        return new Response('_token is invalid');
    }
}

Modèle

{# Twig template #}
<form action="{{ path('test.form.submit') }}" method="post" {{ form_enctype(form) }}>
    {{ form_widget(form) }}
    <input type="submit" name="go" value="Test Form" />
</form>
il vous manque au moins sous la forme de code.
vrai - maintenant, ajout de code pour reproduire le problème.
Jeton CSRF la validation se fait automatiquement symfony.com/doc/current/book/forms.html#csrf-protection
oui, je suis conscient de cela. Le problème est que j'ai besoin de réagir différemment dans le cas où _token est pas valide. C'est pourquoi j'ai besoin de vérifier explicitement.

OriginalL'auteur Ville Mattila | 2013-02-23

  1. 10

    Il n'est pas documentée de manière à vérifier jeton csrf manuellement. Symfony valide automatiquement la présence et l'exactitude de ce jeton. http://symfony.com/doc/current/book/forms.html#csrf-protection

    Cependant il y a une csrf fournisseur de:

    http://api.symfony.com/2.0/Symfony/Component/Form/Extension/Csrf/CsrfProvider/SessionCsrfProvider.html

    et

    http://api.symfony.com/master/Symfony/Component/Form/Extension/Csrf/CsrfProvider/DefaultCsrfProvider.html

    Marques de classes en mesure de fournir une protection CSRF Vous pouvez générer un CSRF
    jeton à l'aide de la méthode generateCsrfToken(). Pour cette méthode, vous
    doit transmettre une valeur qui est unique à la page qui doit être sécurisé
    contre les attaques de type CSRF. Cette valeur ne doit pas nécessairement être
    secret. Les implémentations de cette interface sont responsables de l'ajout de
    plus d'informations secrètes.

    Si vous voulez sécuriser la soumission d'un formulaire contre les attaques CSRF, vous
    pourrait fournir une "intention" de la chaîne. De cette façon, vous vous assurez que les
    forme ne peut être lié à des pages qui sont conçus pour traiter le formulaire,
    qui est, qui utilisent la même intention chaîne de valider le jeton CSRF
    avec isCsrfTokenValid().

    Vous pouvez récupérer le fournisseur comme ce

    $csrf = $this->get('form.csrf_provider');

    utiliser pouvez ensuite utiliser 

    public Boolean isCsrfTokenValid(string $intention, string $token)

Validates a CSRF token.

    Paramètres string $intention L'intention utilisées lors de la génération de la
    Jeton CSRF string $jeton, Le jeton fourni par le navigateur

    Valeur de retour Booléen Si le jeton fourni par le navigateur
    corriger

    Vous avez besoin de finde l'intention de chaîne utilisé par votre formulaire.

    Certains postes intéressants sur DONC:

    Symfony CSRF et Ajax

    Symfony2 liens avec jeton CSRF

    Obsolète depuis Symfony 2.4, l'utilisation security.csrf.token_manager à la place. api.symfony.com/2.7/Symfony/Component/Security/Csrf/...

    OriginalL'auteur Artjom Zabelin

  2. 10

    En plus de artworkad, vous pouvez spécifier une intention:

    Twig:

    <form method="post">
    <input type="text" name="form_name[field]" value="" />
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('form_name') }}">
</form>

    PHP:

    $token = $request->request->get('_csrf_token');
$csrf_token = new CsrfToken('form_name', $token);
var_dump($this->get('security.csrf.token_manager')->isTokenValid($csrf_token));

    Ou pas:

    Twig:

    <form method="post">
    <input type="text" name="field" value="" />
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('') }}">
</form>

    PHP:

    $token = $request->request->get('_csrf_token');
$csrf_token = new CsrfToken('', $token);
var_dump($this->get('security.csrf.token_manager')->isTokenValid($csrf_token));
    Devrait requête ajax régénérer le jeton?
    ajax est le même ?!
    Vous pouvez régénérer le jeton en ajax et mise à jour de votre valeur d'entrée : public function tokenAction($intention) { $csrf = $this->get('security.csrf.token_manager'); $token = $csrf->refreshToken($intention); return new Response($token); }

    OriginalL'auteur p-bizouard

  3. 0

    Je ne suis pas sûr de cela, mais avez-vous essayé le programme de validation sur un champ non mappé:

    $violations = $this->get('validator')->validatePropertyValue($entity, '_token', $form['_token']);
if (count($violations)) {
    //the property value is not valid
}

    OriginalL'auteur Mick