/ / Genera un nuovo token CSRF senza ricaricare l'intero modulo - symfony

Genera un nuovo token CSRF senza ricaricare l'intero modulo - symfony

Se un utente viene disconnesso (a causa della sessionescadenza o per altri motivi) in background durante l'utilizzo dell'applicazione Symfony2, ho implementato un layer JS che appare sullo schermo, consentendo all'utente di accedere immediatamente e continuare a utilizzare il sito web.

Il problema è che se l'utente si trova nel mezzoriempiendo un modulo e viene disconnesso, dopo aver effettuato il login usando il layer JS, sta ancora guardando lo stesso modulo con i valori che è già riuscito a digitare, ma la sua sessione cambia. Il token CSRF nel modulo non è quindi valido.

C'è un modo per generare un nuovo token CSRF basato sulla sessione corrente e una forma particolare, prenderlo da AJAX e sostituirlo nel modulo? O forse c'è un'altra soluzione a questo?

Non voglio disabilitare la protezione CSRF.

risposte:

33 per risposta № 1

Supponendo che si usi il provider CSRF predefinito, nel proprio controller AJAX è possibile ottenere il servizio Provider CSRF e "chiederlo" per rigenerare token:

Symfony 2.3 (e precedente)

/** @var SymfonyComponentFormExtensionCsrfCsrfProviderSessionCsrfProvider $csrf */
$csrf = $this->get("form.csrf_provider");
$token = $csrf->generateCsrfToken($intention);

return new Response($token);

Symfony 2.4

/** @var SymfonyComponentSecurityCsrfCsrfTokenManagerInterface $csrf */
$csrf = $this->get("security.csrf.token_manager");
$token = $csrf->refreshToken($intention);

return new Response($token);
10 per risposta № 2

Usalo per rigenerare il token CSRF (da Symfony2.4):

$csrf = $this->get("security.csrf.token_manager"); //SymfonyComponentSecurityCsrfCsrfTokenManagerInterface
$token = $csrf->refreshToken($intention); // Intention is specified in form type

return new Response($token);
4 per risposta № 3

Sì, il bot può recuperare un token csrf e pubblicare qualcosa nel modulo, ma poiché il token è associato alla sessione, non importa. I token CSRF non sono pensati per impedire l'invio di moduli da parte dei bot.

1 per risposta № 4

Per me la soluzione più semplice è reindirizzare l'utente sullo stesso modulo, passando i dati già inseriti tramite POST.
In questo modo il token verrà generato di nuovo in modo automatico.
Inoltre, non perderai l'input dei dati.

domande correlate

Come generare un nuovo Csrf-Token per un form - zend-framework2, zend-form, csrf
Come proteggere contro CSRF - token, csrf
Divulgazione del token CSRF in URL rispetto al token incluso nella richiesta POST - sicurezza, csrf-protection
Il modulo admin di Django può essere manipolato con Cross-Site Request Forgery (CSRF) - python, django, security, csrf
Django - La verifica CSRF non è riuscita - dopo aver effettuato correttamente l'accesso - python, django
Symfony 2 Aggiungi il token CSRF quando usi un modulo senza una classe: php, forms, symfony, csrf
Laravel CSRF scraping - php, laravel, session, csrf, csrf-protection
Ottieni il token CSRF in Listner symfony - php, symfony
Modulo di processo solo se inviato dal server - php, html, moduli
Storage token CSRF di sailsjs - node.js, express, sails.js
KeystoneJS CSRF nelle proprie pagine - node.js, csrf, keystonejs
Dove devo inserire il mio token CSRF nella mia app Ember? - javascript, ember.js
Come ottenere il valore del token CSRF su javaScript - javascript, jquery, csrf, wavemaker
gestire il token CSRF nelle forme di symfony quando è nel contesto pubblico di REST - forme, resto, symfony, csrf, fosrestbundle
csrf_token symfony2 validate - forms, validation, symfony, token, csrf
Errore Django CSRF - Quali sono le possibili cause dei fallimenti? - Django, sicurezza, CSRF
Prevenire l'attacco csrf in modx formit - csrf, modx, modx-revolution, formit
Implementazione di token CSRF per informazioni sulla sessione - csrf, csrf-protection
Previene l'attacco CSRF in ASP.NET MVC - antiforgerytoken
token csrf dajaxice - ajax, django, csrf