Как безопасно вызвать действие удаления в контроллере?

Question

Я создал блог с системой комментариев и хотел бы, чтобы автор или администратор удалил свой комментарий.

Поэтому я искал в интернете, но нашел только сообщения со ссылкой на Symfony 2/3, и мне было трудно понять.

Итак, я создал свою собственную функцию

/**
 * @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", name="comment_delete")
 */
public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, AuthorizationCheckerInterface $authChecker){

   $em = $this->getDoctrine()->getManager();
   $comment = $commentRepository->find($id);

    $user = $this->getUser();
    if ($user->getId() != $comment->getAuthor()->getId() && $authChecker->isGranted('ROLE_MODERATOR') == false ){
        throw exception_for("Cette page n'existe pas");
    }

   $em->remove($comment);
   $em->flush();
   $this->addFlash('comment_success', 'Commentaire supprimé avec succès');
   return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
}

На ветке, у меня есть эта ссылка:

<a href="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}">Supprimer</a>

Мне нужен идентификатор комментария для действия и идентификатор статьи и статья, чтобы перенаправить пользователя после удаления комментария.

Я проверяю, что лицо, удаляющее комментарий, является автором или модератором.

Однако я слышал, что это абсолютно небезопасно, потому что я должен использовать форму, но я действительно не знаю, как использовать форму в этом случае ... Или, может быть, с помощью JS, чтобы скрыть ссылку для конечного пользователя

Итак, я хотел бы знать, достаточно ли безопасна моя функция или существует ли лучшее решение и как его реализовать?

Answer 1

Способ защиты вашего действия удаления состоит в следующем:

• вы создаете избирателя в соответствии с этой документацией Как использовать избирателей для проверки разрешений пользователя какВиктор Кочкарев сказал.

    <?php

    namespace App\Security\Voter;

    use App\Entity\User;
    use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
    use Symfony\Component\Security\Core\Authorization\Voter\Voter;
    use App\Entity\Comment;

    class CommentVoter extends Voter
    {
        const CAN_DELETE = 'CAN_DELETE';

        protected function supports($attribute, $subject)
        {

            return in_array($attribute, [self::CAN_DELETE]) && $subject instanceof Comment;
        }

        protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
        {
            $user = $token->getUser();
            // if the user is anonymous, do not grant access
            if (!$user instanceof User) {
                return false;
            }

            /** @var Comment $comment */
            $comment = $subject;

            switch ($attribute) {
                case self::CAN_DELETE:
                    return $this->canDelete($comment, $user);
            }

            throw new \LogicException('This code should not be reached!');
        }

        private function canDelete(Comment $comment, User $user)
        {
            if($user->getId() !== $comment->getAuthor()->getId() && $user->hasRole('ROLE_MODERATOR') === false) {
                return false;  
            }

            return true;
        }

    }

В вашей пользовательской сущности метод hasRole может выглядеть примерно так:

   /**
     * @param string $role
     */
    public function hasRole(string $role)
    {
        return in_array(strtoupper($role), $this->getRoles(), true);
    }

• В вашем шаблоне вы можете сделать что-то вроде:

{% if is_granted('CAN_DELETE', comment) %}
    <form action="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}" method="post">
       <input type="hidden" name="_csrf_token" value="{{csrf_token('delete_comment')}}" />
       <button>supprimer</button>
    </form>
{% endif %}

• Наконец, в вашем контроллере вы можете сделать что-то вроде:

    /**
     * @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", methods={"POST"}, name="comment_delete")
     */
    public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, EntityManagerInterface $em){

       $comment = $commentRepository->find($id);
       $csrfToken = $request->request->get('_csrf_token');

       if(!$this->isCsrfTokenValid('delete_comment', $csrfToken) || !$this->isGranted('CAN_DELETE', $comment){
           throw exception_for("Cette page n'existe pas");
       }

       $em->remove($comment);
       $em->flush();
       $this->addFlash('comment_success', 'Commentaire supprimé avec succès');
       return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
    }

Здесь ваш метод удаления защищен токеном csrf иизбиратель.Я думаю, что это попытка решения.

Answer 2

Вы движетесь в правильном направлении.Всегда выполняйте проверку и проверку разрешений в бэкэнде.

Скрытие ссылки или использование формы и отключение ее не помешают людям, использующим dev-tools, отправлять запрос вашему контроллеру.Я предпочел бы, чтобы проверки внешнего интерфейса были удобны для пользователей - они прямо показывают, что некоторые данные недопустимы / им не разрешено что-либо делать, прежде чем делать запрос.

Я использую SensioFrameworkExtraBundle для проверок ROLE (Тем не менее, я не люблю аннотации для таких проверок .. хмм) - выбрасывание allowDeniedException, если у пользователя нет подходящей роли для действия контроллеров.После этого может потребоваться выполнить дополнительные проверки, как вы сделали с $user->getId() != $comment->getAuthor()->getId()

Answer 3

Для решения подобных проблем я бы рекомендовал использовать Symfony Voters https://symfony.com/doc/current/security/voters.html