问题描述
我有一个问题,关于symfony/form用作独立组件以及security-csrf与PHP内置服务器一起运行。我几乎不记得Symfony框架有这样的问题。
将symfony/form设置为独立组件时,我同时针对v4.2和v5.1 https://github.com/xmgcoyi/standalone-forms/tree/4.2+twig尝试了此代码。 https://symfony.com/doc/current/components/form.html
csrf令牌是用树枝桥生成的,但是提交表单时-调用$form->isValid()-invalid csrf时会出现错误。
默认情况下,csrf保护已启用,设置为false-表单提交。
尝试将CSRF组件与NativeSessionTokenStorage和SessionTokenStorage + Session of HttpFoundation一起使用。
您能提供关于我做错了什么以及在哪里看的任何提示吗?
- https://github.com/xmgcoyi/standalone-forms/tree/4.2+twig
- https://github.com/liorchamla/pratique-symfony-form/tree/06-protection-csrf
UPD 上面的应用程序运行良好,问题出在充满垃圾的浏览器存储中。
在false中设置为$formFactory->createBuilder(FormType::class,null,['csrf_protection' => false])会提交表单
解决方法
这有点猜测,但4.2链接的回购协议具有:
$csrfManager = new CsrfTokenManager($csrfGenerator,$csrfStorage);
$csrfTokenManager = new CsrfTokenManager();
两个令牌管理器。一种用于枝条表单引擎,另一种用于表单工厂扩展。似乎不可行。
这是更新的5.1工作示例。我从您的链接存储库中删除了更多内容。但是我唯一真正改变的是令牌管理器。
# index.php
require_once '../vendor/autoload.php';
$app = new App();
$app->run();
final class App
{
public function run()
{
$csrfGenerator = new UriSafeTokenGenerator();
$csrfStorage = new NativeSessionTokenStorage();
$csrfManager = new CsrfTokenManager($csrfGenerator,$csrfStorage);
$twig = new Environment(new FilesystemLoader([
'../templates','../vendor/symfony/twig-bridge/Resources/views/Form',]));
$formEngine = new TwigRendererEngine(['form_div_layout.html.twig'],$twig);
$twig->addRuntimeLoader(new FactoryRuntimeLoader([
FormRenderer::class => function () use ($formEngine,$csrfManager) {
return new FormRenderer($formEngine,$csrfManager);
},]));
$twig->addExtension(new TranslationExtension());
$twig->addExtension(new FormExtension());
$formFactory = Forms::createFormFactoryBuilder()
->addExtension(new CsrfExtension($csrfManager))
//->addExtension(new ValidatorExtension($validator))
->getFormFactory();
$form = $formFactory->createBuilder()
->add('firstName',TextType::class)
->getForm();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$form->submit($_POST[$form->getName()]); // form
if ($form->isValid()) {
dump('form is valid');
}
}
echo $twig->render('index.html.twig',[
'form' => $form->createView(),]);
}
}
composer.json很简单:
{
"require": {
"symfony/form": "^5.1","symfony/twig-bridge": "^5.1","symfony/translation": "^5.1","symfony/security-csrf": "^5.1"
},"require-dev": {
"symfony/var-dumper": "^5.1"
}
}
如果您仍然遇到问题,那么我建议您跟踪会话的存储位置,然后验证csrf令牌是否已正确存储。它应该类似于:
_csrf|a:1:{s:4:"form";s:43:"9v1tUNe3J3eYVOmEPwVdz5_iISfzBg8Qa9pLMV8tSN4";}
这实际上是将树枝系统用于独立表单的一种有趣的练习。谢谢。