首先,我完全是 Symfony 2 的菜鸟。这个问题听起来很简单,如果我尝试将一些上下文说明我为什么需要它以及如何需要它,它就会开始变得混乱。
本质上,我创建了一个表单,我使用 Doctrine 等手动处理、验证和插入该表单。我在控制器操作中手动创建表单(它是从另一个对象的检索值动态构建的)。我假设可能有更好的方法来做到这一点,但由于我是 Symfony 的新手,并且在网上拖网的日子,我看不到任何我需要做的事情的解决方案。
因此,我不只是针对类/实体等构建表单,因此我需要手动添加 CSRF 令牌或某种保护。
在正常情况下,您将创建 FormType 并将默认选项配置为具有 csrf_protection。然后是一个简单的案例:
{{ form_widget(form._token) }}
csrf 令牌就在那里。
当我动态构建表单时,我不确定如何为我的表单手动创建 csrf 令牌。有没有人有过创建没有类的表单并添加 csrf 保护的经验?
亲切的问候 保罗·庞德
【问题讨论】:
我认为您正在寻找的是以下内容:
这将呈现一个 CSRF 令牌。如果您想在不创建表单的情况下进行 CSRF 保护,请使用此功能
{{ csrf_token("intention") }}
例如:
<a href="{{ path('remove_stuff', {token: csrf_token('intention')}) }}">Remove</a>
要从控制器验证此令牌,您可以:
if ($this->get('token') !== $this->get('security.csrf.token_manager')->getToken('intention')->getValue()) {
throw new \Symfony\Component\Security\Core\Exception\InvalidCsrfTokenException('Invalid CSRF token');
}
为了简化在 Symfony 2.6 或更高版本上检查令牌
if ($this->isCsrfTokenValid('intention', $submittedToken)) {
// ... do something, like deleting an object
}
【讨论】:
Form Type与token的关联:
{{ csrf_token("task_item_intention") }}
在表单类型中:
class TaskType extends AbstractType
{
// ...
public function setDefaultOptions(OptionsResolverInterface $resolver)
{
$resolver->setDefaults(array(
'data_class' => 'Acme\TaskBundle\Entity\Task',
'csrf_protection' => true,
'csrf_field_name' => '_token',
// a unique key to help generate the secret token
'intention' => 'task_item_intention',
));
}
// ...
}
【讨论】:
csrf_token_id 而不是 intention。查看下面的链接以获取更多信息。您也可以跳过csrf_protection 和csrf_field_name,因为它们的默认配置方式与您在上面看到的相同。 symfony.com/doc/current/form/csrf_protection.html
在(我的)正常情况下,您创建一个表单并且不专门配置 CSRF - 它会自动发生,并且您使用 form_rest(form) 或 form_end(form) 使用 CSRF 令牌呈现隐藏的输入。我不认为这对于没有模型支持的表单有什么不同。
【讨论】: