我有以下Symfony控制器:
namespace AppBundle\Controller
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\JsonResponse;
class MyController extends Controller
{
/**
* @Route("/form", name="get_form")
* @Method("GET")
*/
public function getFormAction(Request $request)
{
return $this->render('some_twig.html.twig');
}
/**
* @Route("/form_submit", name="submit_form")
* @Method("POST")
*/
public function ajaxFormAction(Request $request)
{
if($request->isXmlHttpRequest()){
return new JsonResponse(['data':"All midori"],JsonResponse::HTTP_OK);
} else {
return new JsonResponse(['data':"Echi, hentai, baka"],JsonResponse::HTTP_BAD_REQUEST);
}
}
}
表单通过以下javascript代码提交:
$("#someform").on('submit',function(e){
e.preventDefault();
var self=this; //To avoid Confusion using this
var url=$(self).attr('action');
$.ajax({
'method': "POST",
'url': url,
'data': $(self).serialize(),
'statusCode': {
400: function(data,textStatus,jqXHR) {
//Handle Error 400
},
500: function(data,textStatus,jqXHR){
//Handle error 500
}
},
'success':function(data){
//DO some stuff
}
});
})
但是我在如何保护Symfony Ajax方法免受CSRF攻击方面遇到了一些麻烦。当我试图通过在发生aeero时将CSRF令牌放置形成来保护,例如。它抛出一个异常呈现我的表单垃圾。
离开不受保护也不是最好的可行选择。那么如何有效地保护它呢?
通过expirementation最好的可行选项是使用DunglasAngularCsrfBundle
(寻找文档here)。在您的示例中,将以下代码放入security.yml
:
dunglas_angular_csrf:
# Collection of patterns where to set the cookie
cookie:
set_on:
- {route: ^get_form, methods: [GET]}
secure:
- {route: ^submit_form, methods:[POST]}
然后修改jquery代码,如下所示:
$("#someform").on('submit',function(e){
e.preventDefault();
var self=this; //To avoid Confusion using this
var url=$(self).attr('action');
$.ajax({
'method': "POST",
'url': url,
'data': $(self).serialize(),
'beforeSend': function(request) {
request.setRequestHeader('X-XSRF-TOKEN', Cookies.get('XSRF-TOKEN'));
},
'statusCode': {
400: function(data,textStatus,jqXHR) {
//Handle Error 400
},
500: function(data,textStatus,jqXHR){
//Handle error 500
}
},
'success':function(data){
//DO some stuff
}
});
})
我使用库js-cookie获取cookie值,但您也可以使用以下answer中提到的方法。
整个想法是通过XSRF-TOKEN
获取CSRF令牌(应该是大写字母而不是文档所说的)并通过自定义http头X-XSRF-TOKEN
返回值(所有都应该是大写)。
所以你可以亲吻漏洞再见。