在测试中获取CSRF令牌

时间:2012-03-01 21:09:38

标签: testing symfony csrf-protection

我正在编写功能测试,我需要发出ajax post请求。 “CSRF令牌无效。请尝试重新提交表单”。如何在功能测试中获取令牌?

$crawler = $this->client->request(
  'POST', 
  $url, 
  array(
      'element_add' => array(
          '_token' => '????',
          'name'   => 'bla',
      )

  ), 
  array(), 
  array('HTTP_X-Requested-With' => 'XMLHttpRequest')
);

4 个答案:

答案 0 :(得分:20)

CSRF令牌生成器是正常的symfony 2服务。您可以自己获得服务并生成令牌。例如:

    $csrfToken = $client->getContainer()->get('form.csrf_provider')->generateCsrfToken('registration');
    $crawler = $client->request('POST', '/ajax/register', array(
        'fos_user_registration_form' => array(
            '_token' => $csrfToken,
            'username' => 'samplelogin',
            'email' => 'sample@fake.pl',
            'plainPassword' => array(
                'first' => 'somepass',
                'second' => 'somepass',
            ),
            'name' => 'sampleuser',
            'type' => 'DSWP',
        ),
    ));

generateCsrfToken 获取一个重要的参数意图,它在测试中应该是相同的,否则就会失败。

答案 1 :(得分:12)

经过长时间的搜索(我在doc和网上找不到关于如何检索csrf令牌的内容)我找到了一种方法:

$extract = $this->crawler->filter('input[name="element_add[_token]"]')
  ->extract(array('value'));
$csrf_token = $extract[0];

在发出请求之前从响应中提取令牌。

答案 2 :(得分:5)

在symfony 3中,在WebTestCase中,您需要获取CSRF令牌:

$csrfToken = $client->getContainer()->get('security.csrf.token_manager')->getToken($csrfTokenId);

要获得$csrfTokenId,最好的方法是FormType()的to force it in the options

class TaskType extends AbstractType
{
    // ...

    public function configureOptions(OptionsResolver $resolver)
    {
        $resolver->setDefaults(array(
            'csrf_token_id'   => 'task_item',
        ));
    }

    // ...
}

所以在这种情况下:$csrfTokenId = "task_item";。或者您可以尝试使用默认值,即表单的名称。

然后将其用作后置参数:

$client->request(
  'POST',
  '/url',
  [
    'formName' => [
      'field' => 'value',
      'field2' => 'value2',
      '_token' => $csrfToken
    ]
  ]
);

答案 3 :(得分:0)

以防万一有人偶然发现它,在symfony 5中,您会以这种方式获得令牌:

$client->getContainer()->get('security.csrf.token_manager')->getToken('token-id')->getValue();

其中“ token-id”是您在表单类型的configureOptions方法中使用的ID,如下所示:

public function configureOptions(OptionsResolver $resolver)
    {
        $resolver->setDefaults([
           
            "data_class"         => Foo::class,
            "csrf_protection"    => true,
            "csrf_field_name"    => "field_name", //form field name where token will be placed. If left empty, this will default to _token
            "csrf_token_id"      => "token-id", //This is the token id you must use to get the token value in your test
        ]);
    }

然后,您只需将令牌作为普通字段放入请求中即可。

相关问题
最新问题