我有一个关于symfony/form作为独立组件使用和security-csrf与PHP内置服务器一起运行的问题。我几乎不记得对Symfony框架有过这样的问题。
当将symfony/form设置为独立组件时,我在v4.2和v5.1中都尝试了此代码https://github.com/xmgcoyi/standalone-forms/tree/4.2+树枝。这里提到的webmozart例子的改写https://symfony.com/doc/current/components/form.html
csrf令牌是用trick-bridge生成的,但在提交表单时-调用$form->isValid()-invalid csrf时出现错误。
默认情况下,启用csrf保护,设置为false-表单提交。
尝试使用NativeSessionTokenStorage和SessionTokenStorage + Session of HttpFoundation两种设置的CSRF组件。
你能告诉我我做错了什么吗?从哪里看?
p.S.提交时出现csrf错误的代码样本:
- https://github.com/xmgcoyi/standalone-forms/tree/4.2+树枝
- https://github.com/liorchamla/pratique-symfony-form/tree/06-protection-csrf
UPD上面的应用程序运行良好,问题是浏览器存储空间充满了垃圾。
在$formFactory->createBuilder(FormType::class, null, ['csrf_protection' => false])中设置为false提交表单
这有点猜测,但4.2挂钩回购有:
$csrfManager = new CsrfTokenManager($csrfGenerator, $csrfStorage);
$csrfTokenManager = new CsrfTokenManager();
两个代币管理器。一个用于分支表单引擎,一个用于表单工厂扩展。这似乎不是一件合理的事情。
这是一个更新的5.1工作示例。我从你的关联回购中剥离了更多。但我真正改变的只是代币管理器。
# index.php
require_once '../vendor/autoload.php';
$app = new App();
$app->run();
final class App
{
public function run()
{
$csrfGenerator = new UriSafeTokenGenerator();
$csrfStorage = new NativeSessionTokenStorage();
$csrfManager = new CsrfTokenManager($csrfGenerator, $csrfStorage);
$twig = new Environment(new FilesystemLoader([
'../templates',
'../vendor/symfony/twig-bridge/Resources/views/Form',
]));
$formEngine = new TwigRendererEngine(['form_div_layout.html.twig'], $twig);
$twig->addRuntimeLoader(new FactoryRuntimeLoader([
FormRenderer::class => function () use ($formEngine,$csrfManager) {
return new FormRenderer($formEngine, $csrfManager);
},
]));
$twig->addExtension(new TranslationExtension());
$twig->addExtension(new FormExtension());
$formFactory = Forms::createFormFactoryBuilder()
->addExtension(new CsrfExtension($csrfManager))
//->addExtension(new ValidatorExtension($validator))
->getFormFactory();
$form = $formFactory->createBuilder()
->add('firstName', TextType::class)
->getForm();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$form->submit($_POST[$form->getName()]); // form
if ($form->isValid()) {
dump('form is valid');
}
}
echo $twig->render('index.html.twig', [
'form' => $form->createView(),
]);
}
}
composer.json很简单:
{
"require": {
"symfony/form": "^5.1",
"symfony/twig-bridge": "^5.1",
"symfony/translation": "^5.1",
"symfony/security-csrf": "^5.1"
},
"require-dev": {
"symfony/var-dumper": "^5.1"
}
}
如果你仍然有问题,那么我建议你追踪会话的存储位置,然后验证csrf令牌是否正确存储。它应该看起来像:
_csrf|a:1:{s:4:"form";s:43:"9v1tUNe3J3eYVOmEPwVdz5_iISfzBg8Qa9pLMV8tSN4";}
这实际上是一个有趣的练习,将trick系统用于独立窗体。谢谢