如果表单仅包含提交按钮,则Symfony3 CSRF错误

时间:2018-02-10 21:38:39

标签: php forms symfony validation csrf

简介

我正在使用Symfony v3.4

我正在尝试从数据库中删除商品。为此,我使用方法described here

简而言之 - 可以使用两个表单提交按钮来决定 - 删除项目或返回列表(通过重定向)。检查表单有效性后,可以知道按下了哪个按钮,以满足需求。 (这种方法不依赖于JavaScript)。

出于此目的,我使用2个不同名称的提交按钮创建了表单(没有其他字段)。我在控制器中创建表单并将其传递给视图,它按预期显示。

问题

问题是 - 当我提交表格时,它无效!错误是:The CSRF token is invalid. Please try to resubmit the form.重新提交不会更改内容,表单仍无效...

我认为Symfony Forms会自动处理CSRF令牌!在这种情况下不是吗?我错过了什么?

问题

在这种情况下,最佳做法是什么?

Profiler屏幕截图

enter image description here

代码

我的FormType 

namespace AppBundle\Form\Type;

use Symfony\Component\Form\AbstractType;
use Symfony\Component\Form\Extension\Core\Type\SubmitType;
use Symfony\Component\Form\FormBuilderInterface;
use Symfony\Component\OptionsResolver\OptionsResolver;

class ReservationActionType extends AbstractType
{
    public function buildForm(FormBuilderInterface $builder, array $options)
    {
        $builder
            ->add('delete', SubmitType::class, array(
                'attr' => array('class' => 'btn btn-danger'),
                'label' => 'Yes, delete an item'
            ))
            ->add('return', SubmitType::class, array(
                'attr' => array('class' => 'btn btn-default'),
                'label' => 'No, return to list'
            ));
        ;
    }

    public function configureOptions(OptionsResolver $resolver)
    {
        $resolver->setDefaults(
            array(
                'csrf_protection' => true,
                'csrf_field_name' => '_token',
            )
        );
    }
}

我的Controller 

public function reservationDelete($reservation_id = 0, Request $request)
{
    // get $reservation that corresponds $reservation_id from database

    $form = $this->createForm(ReservationActionType::class);

    $form->handleRequest($request);

    if ($form->isSubmitted() && $form->isValid())
    {
        if ($form->get('delete')->isClicked())
        {
            dump('replace this with item delete code');
        }
        else if ($form->get('return')->isClicked())
        {
            return $this->redirectToRoute('admin_reservations');
        }
    }

    return $this->render('admin/reservations_use_code.html.twig',
        [
            'reservation_id' => $reservation_id,
            'reservation' => $reservation,
            'form' => $form->createView()
        ]
    );
}

表单所在的template部分

{% if reservation['id'] is defined %}
    {{ form_start(form, {'attr': {'novalidate': 'novalidate', 'method': 'POST'}}) }}
        {{ form_widget(form.delete) }}
        {{ form_widget(form.return) }}
    {{ form_end(form) }}
{% endif %}

2 个答案:

答案 0 :(得分:0)

尝试直接在表单中添加CSRF:

   ...
   {{ form_row(form._token) }}
{{ form_end(form) }}

答案 1 :(得分:0)

实际上,是的,它可以!

(渲染形式的差异很小,特定于Twig,而不是Symfony)

但是你呈现表单的方式,实际上(我猜错了)你说twig 不呈现其他字段而不是"删除"并且"返回"。这就是找不到您的CSRF令牌的原因。

我建议您不要手动渲染字段,而是建议您使用主题(https://symfony.com/doc/3.4/form/form_customization.html)来自定义特定的行和字段。

然后您可以通过以下方式呈现表单:

{{ form(form) }}

要为表单附加费用,自动呈现所有字段(包括CSRF):注意form_widget(form)(呈现所有字段)和form_widget(form.my_field)之间的差异(渲染" my_field"仅限) 

{{ form_start(form, { attr: { novalidate: true }}) }}
    {{ form_widget(form) }}
{{ form_end(form) }}

要在不使用主题的情况下对特定字段进行附加费(写入IMO要稍微重一点),请使用form_rest(form)呈现所有其他字段(包括CSRF)

{{ form_start(form) }}
    {{ form_row(form.delete, { attr: { class: 'whatever' }}) }}
    {{ form_rest(form) }}
{{ form_end(form) }}
相关问题
最新问题