通过Symfony 3.4上的CSRF令牌保护jquery Ajax请求免受CSRF攻击

问题描述 投票:0回答:1

我有以下Symfony控制器:

namespace AppBundle\Controller

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\JsonResponse;

class MyController extends Controller
{
  /**
  * @Route("/form", name="get_form")
  * @Method("GET")
  */
  public function getFormAction(Request $request)
  {
    return $this->render('some_twig.html.twig');
  }

  /**
  * @Route("/form_submit", name="submit_form")
  * @Method("POST")
  */
  public function ajaxFormAction(Request $request)
  {
    if($request->isXmlHttpRequest()){
    return new JsonResponse(['data':"All midori"],JsonResponse::HTTP_OK);
    } else {
     return new JsonResponse(['data':"Echi, hentai, baka"],JsonResponse::HTTP_BAD_REQUEST);
    }
  }
}

表单通过以下javascript代码提交:

$("#someform").on('submit',function(e){
    e.preventDefault();

    var self=this; //To avoid Confusion using this
    var url=$(self).attr('action');

    $.ajax({
      'method': "POST",
      'url': url,
      'data': $(self).serialize(),
      'statusCode': {
        400: function(data,textStatus,jqXHR) {
          //Handle Error 400
        },
        500: function(data,textStatus,jqXHR){
         //Handle error 500
        }
      },
      'success':function(data){
        //DO some stuff
      }
    });
  })

但是我在如何保护Symfony Ajax方法免受CSRF攻击方面遇到了一些麻烦。当我试图通过在发生aeero时将CSRF令牌放置形成来保护,例如。它抛出一个异常呈现我的表单垃圾。

离开不受保护也不是最好的可行选择。那么如何有效地保护它呢?

jquery symfony csrf-protection symfony-3.4
1个回答
0
投票

通过expirementation最好的可行选项是使用DunglasAngularCsrfBundle(寻找文档here)。在您的示例中,将以下代码放入security.yml

dunglas_angular_csrf:
  # Collection of patterns where to set the cookie
  cookie:
      set_on:
        - {route: ^get_form, methods: [GET]}
  secure:
    - {route: ^submit_form, methods:[POST]}

然后修改jquery代码,如下所示:

$("#someform").on('submit',function(e){
e.preventDefault();

var self=this; //To avoid Confusion using this
var url=$(self).attr('action');

$.ajax({
  'method': "POST",
  'url': url,
  'data': $(self).serialize(),
  'beforeSend': function(request) {
    request.setRequestHeader('X-XSRF-TOKEN', Cookies.get('XSRF-TOKEN'));
  },
  'statusCode': {
    400: function(data,textStatus,jqXHR) {
      //Handle Error 400
    },
    500: function(data,textStatus,jqXHR){
     //Handle error 500
    }
  },
  'success':function(data){
    //DO some stuff
  }
});


})

我使用库js-cookie获取cookie值,但您也可以使用以下answer中提到的方法。

整个想法是通过XSRF-TOKEN获取CSRF令牌(应该是大写字母而不是文档所说的)并通过自定义http头X-XSRF-TOKEN返回值(所有都应该是大写)。

所以你可以亲吻漏洞再见。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.