通过Symfony 3.4上的CSRF令牌保护jquery Ajax请求免受CSRF攻击

时间:2018-09-05 22:18:39

标签: jquery symfony csrf-protection symfony-3.4

我有以下Symfony Controller:

namespace AppBundle\Controller

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\JsonResponse;

class MyController extends Controller
{
  /**
  * @Route("/form", name="get_form")
  * @Method("GET")
  */
  public function getFormAction(Request $request)
  {
    return $this->render('some_twig.html.twig');
  }

  /**
  * @Route("/form_submit", name="submit_form")
  * @Method("POST")
  */
  public function ajaxFormAction(Request $request)
  {
    if($request->isXmlHttpRequest()){
    return new JsonResponse(['data':"All midori"],JsonResponse::HTTP_OK);
    } else {
     return new JsonResponse(['data':"Echi, hentai, baka"],JsonResponse::HTTP_BAD_REQUEST);
    }
  }
}

该表单是通过以下javascript代码提交的:

$("#someform").on('submit',function(e){
    e.preventDefault();

    var self=this; //To avoid Confusion using this
    var url=$(self).attr('action');

    $.ajax({
      'method': "POST",
      'url': url,
      'data': $(self).serialize(),
      'statusCode': {
        400: function(data,textStatus,jqXHR) {
          //Handle Error 400
        },
        500: function(data,textStatus,jqXHR){
         //Handle error 500
        }
      },
      'success':function(data){
        //DO some stuff
      }
    });
  })

但是我在如何保护Symfony Ajax方法免受CSRF攻击方面遇到了一些麻烦。当我尝试通过在发生aeero时将CSRF令牌形成来进行保护时,例如抛出一个异常,使我的表单成为垃圾。

不加保护也不是最好的选择。那么如何有效地保护它呢?

1 个答案:

答案 0 :(得分:0)

通过到期,最好的选择是使用DunglasAngularCsrfBundle(查找文档here)。在您的示例中,将以下代码放入security.yml

dunglas_angular_csrf:
  # Collection of patterns where to set the cookie
  cookie:
      set_on:
        - {route: ^get_form, methods: [GET]}
  secure:
    - {route: ^submit_form, methods:[POST]}

然后按如下所示修改jquery代码:

$("#someform").on('submit',function(e){
e.preventDefault();

var self=this; //To avoid Confusion using this
var url=$(self).attr('action');

$.ajax({
  'method': "POST",
  'url': url,
  'data': $(self).serialize(),
  'beforeSend': function(request) {
    request.setRequestHeader('X-XSRF-TOKEN', Cookies.get('XSRF-TOKEN'));
  },
  'statusCode': {
    400: function(data,textStatus,jqXHR) {
      //Handle Error 400
    },
    500: function(data,textStatus,jqXHR){
     //Handle error 500
    }
  },
  'success':function(data){
    //DO some stuff
  }
});


})

我使用库js-cookie获取cookie值,但是您也可以使用以下answer中提到的方法。

整个想法是通过XSRF-TOKEN获取CSRF令牌(应为大写字母,而不是文档所说的内容),并通过自定义的HTTP标头X-XSRF-TOKEN返回值(所有都应为大写字母)也是如此)。

这样您就可以告别该漏洞了。

相关问题
最新问题