Symfony CSRF 和 Ajax答案

【问题标题】：Symfony CSRF and AjaxSymfony CSRF 和 Ajax
【发布时间】：2012-08-16 18:34:58
【问题描述】：

我正在尝试在我的 Symfony 2 项目中实现一些 ajax 功能。使用 jquery 的 $.post 我想将一些数据发送回我的控制器。但是，当我只是 POST 数据时，没有 CSRF 保护，因为 symfony 的 csrf 保护似乎只适用于表单。

什么是实现这一点的非常简单的方法？

使用表单时，我只需执行 $form->isValid() 即可确定 CSRF 令牌是否通过。我目前正在将我想要发布的所有内容放在一个表单中，然后发布。这基本上意味着我只使用该表单来实现 CSRF 保护，这看起来很 hacky。

【问题讨论】：

不是所有其他页面都只是用户可以访问的页面吗？这意味着通常的 security.yml 设置会阻止应该看到它的人看到它。

标签： ajax symfony csrf

【解决方案1】：

你应该试试这个 sn-p。 Symfony 表单应该生成特殊的 _csrf_token 应该与 post 请求一起发送。如果没有此值，将引发安全警报。

当然#targetForm应该被form id和/endpoint替换成目标ajax url

$('#targetForm').bind('submit', function(e) {

    e.preventDefault();
    var data = $(this).serialize();

    $.post('/endpoint', data, function(data) {
        // some logic here
    });

});

【讨论】：

是的，但我试图不为我想要使用的每一位 ajax 使用表单。仍然是通过 ajax 发送表单的好选择！

【解决方案2】：

在 Symfony2 中，CSRF 令牌默认基于会话。如果你想生成它，你只需要得到这个服务和调用生成方法：

//Symfony\Component\Form\Extension\Csrf\CsrfProvider\SessionCsrfProvider by default
$csrf = $this->get('form.csrf_provider');
//Intention should be empty string, if you did not define it in parameters
$token = $csrf->generateCsrfToken($intention); 

return new Response($token);

This question 可能对你有用

【讨论】：

好了，问题解决了一半。现在我需要验证是否 POST 的令牌，我会这样做：api.symfony.com/2.0/Symfony/Component/Form/Extension/Csrf/…
现在我需要将令牌返回到模板中。由于这篇文章是由一个成熟的 HTML 页面制作的，我可以将它放在一个带有 CSS 隐藏属性的 div 中，并让该页面上的每个启用 ajax 的脚本都使用它。但由于令牌仅有效一次，我将不得不让每个 ajax POST 返回一个新令牌并将其设置回隐藏的 div。现在，如果发出请求并且响应超时，服务器端将生成一个新令牌，但不会设置它。不过，这种情况发生的可能性很小。我会接受这个作为答案，尽管它仍然感觉很hacky。
@peterrus 好吧...如果您对这种原生行为不满意 - 您可以编写自己的 csrf_provider 并实现您需要的行为 :)
对于嵌入令牌：设置 X-CSRF-Token 标头似乎是一个巧妙的解决方案：erlend.oftedal.no/blog/?blogid=118
在 Symfony 3 中服务的名称被更改为security.csrf.token_manager。接口也发生了变化。您需要致电 getToken() 而不是 generateCsrfToken()。

【解决方案3】：

我有这个问题，间歇性的。原来这不是因为我的 ajax，而是因为 Silex 为您提供了一个已弃用的DefaultCsrfProvider，它使用会话 ID 本身作为令牌的一部分，为了安全起见，我随机更改了 ID。相反，明确告诉它使用新的CsrfTokenManager 来修复它，因为它会生成一个令牌并将其存储在会话中，以便会话 ID 可以更改而不会影响令牌的有效性。

/** Use a CSRF provider that does not depend on the session ID being constant. We change the session ID randomly */
$app['form.csrf_provider'] = $app->share(function ($app) {
    $storage = new Symfony\Component\Security\Csrf\TokenStorage\SessionTokenStorage($app['session']);
    return new Symfony\Component\Security\Csrf\CsrfTokenManager(null, $storage);
});

【讨论】：

【解决方案4】：

在 Symfony 4+ 中，您可以在控制器或操作或任何地方使用依赖注入，例如，如果您正在提交表单并希望刷新同一表单的令牌，$tokenId 是表单类型类：

namespace App\Controller;

use App\Form\MyFormType;
use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;

class MyController extends AbstractController
{
    public function submit(CsrfTokenManagerInterface $tokenManager): JsonResponse
    {
        // ...
        $token = $tokenManager->refreshToken(MyFormType::class);
        return new JsonResponse(['token' => $token->getValue()]);
    }
}

在您的 JavaScript 中，您可以更新现有的令牌 <input>。

const token = document.getElementById('_token');
fetch(url, opts)
    .then(resp => resp.json())
    .then(response => {
        if (response.token) {
            token.value = response.token;
        }
    });

【讨论】：