Question

У меня есть следующий контроллер Symfony:

namespace AppBundle\Controller

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\JsonResponse;

class MyController extends Controller
{
  /**
  * @Route("/form", name="get_form")
  * @Method("GET")
  */
  public function getFormAction(Request $request)
  {
    return $this->render('some_twig.html.twig');
  }

  /**
  * @Route("/form_submit", name="submit_form")
  * @Method("POST")
  */
  public function ajaxFormAction(Request $request)
  {
    if($request->isXmlHttpRequest()){
    return new JsonResponse(['data':"All midori"],JsonResponse::HTTP_OK);
    } else {
     return new JsonResponse(['data':"Echi, hentai, baka"],JsonResponse::HTTP_BAD_REQUEST);
    }
  }
}

Форма отправляется через следующий код JavaScript:

$("#someform").on('submit',function(e){
    e.preventDefault();

    var self=this; //To avoid Confusion using this
    var url=$(self).attr('action');

    $.ajax({
      'method': "POST",
      'url': url,
      'data': $(self).serialize(),
      'statusCode': {
        400: function(data,textStatus,jqXHR) {
          //Handle Error 400
        },
        500: function(data,textStatus,jqXHR){
         //Handle error 500
        }
      },
      'success':function(data){
        //DO some stuff
      }
    });
  })

Но у меня есть некоторые проблемы с тем, как я могу защитить метод Symfony Ajax от CSRF-атак. Когда я пытаюсь защитить себя, помещая токен CSRF в форму, когда возникает аэро, например. брошенное исключение делает мою форму ненужной.

Кроме того, оставление незащищенным - не лучший вариант. Так как же эффективно это защитить?

Dimitrios Desyllas · Answer 1 · 06 сентября 2018

По истечении срока действия наилучшим вариантом является использование DunglasAngularCsrfBundle (см. Документацию здесь ). В вашем примере поместите следующий код в ваш security.yml:

dunglas_angular_csrf:
  # Collection of patterns where to set the cookie
  cookie:
      set_on:
        - {route: ^get_form, methods: [GET]}
  secure:
    - {route: ^submit_form, methods:[POST]}

Затем измените код jquery следующим образом:

$("#someform").on('submit',function(e){
e.preventDefault();

var self=this; //To avoid Confusion using this
var url=$(self).attr('action');

$.ajax({
  'method': "POST",
  'url': url,
  'data': $(self).serialize(),
  'beforeSend': function(request) {
    request.setRequestHeader('X-XSRF-TOKEN', Cookies.get('XSRF-TOKEN'));
  },
  'statusCode': {
    400: function(data,textStatus,jqXHR) {
      //Handle Error 400
    },
    500: function(data,textStatus,jqXHR){
     //Handle error 500
    }
  },
  'success':function(data){
    //DO some stuff
  }
});


})

Я получаю значение cookie, используя библиотеку js-cookie , но вы также можете использовать методы, упомянутые в следующем answer .

Вся идея состоит в том, чтобы получить токен CSRF через XSRF-TOKEN (должен быть в заглавных буквах вместо того, что указано в документации) и вернуть значение через специальный заголовок http X-XSRF-TOKEN (все также должны быть заглавными буквами).

Так что вы можете поцеловать уязвимость на прощание.

Защита jquery Ajax-запросов от CSRF-атак через токен CSRF в Symfony 3.4

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Защита jquery Ajax-запросов от CSRF-атак через токен CSRF в Symfony 3.4

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы