在我的项目中,在某些地方,我需要通过javascript创建一个cookie。我试图编写一个非常解耦的过程,最终得到了这样的symfony服务:
<?php
namespace EvoSecurityBundleService;
use SymfonyComponentHttpFoundationResponse;
class Cookie
{
/**
* @var
*/
protected $cookiesParams;
/**
* Constructor
*
* @param $cookiesParams
*/
public function __construct($cookiesParams)
{
$this->cookiesParams = $cookiesParams;
}
/**
* Création de cookie interne
*
* @param $name
* @param $value
* @param null $expire
* @param string $path
* @param null $domain
* @param bool $secure
* @param bool $httponly
* @return Response
*/
public function setInternalCookie($name, $value, $expire = null, $path = '/', $domain = null, $secure = false, $httponly = true)
{
$response = array();
if( isset($_COOKIE['accept-cookies']) ) {
$response['success'] = true;
$response['existed'] = true;
}
else {
$response['success'] = true;
$response['existed'] = false;
}
if( !isset($_COOKIE['accept-cookies']) ) {
if( is_null($expire) ) {
$expire = strtotime('+' . $this->cookiesParams['max_lifetime']);
}
if( is_null($domain) ) {
$domain = $_SERVER['SERVER_NAME'];
}
$cookieSet = setcookie($name, $value, $expire, $path, $domain, $secure, $httponly);
$response['success'] = $cookieSet;
$response['set'] = $cookieSet;
}
return new Response(json_encode($response));
}
}
大多数时候,我在 PHP 中调用控制器,因此不会暴露任何内容。但是在某些地方,我需要通过javascript创建我的cookie。所以我写了一个控制器操作来接收参数并调用我的 Cookie 服务。我的控制器是这样的:
<?php
namespace EvoSecurityBundleController;
use SymfonyBundleFrameworkBundleControllerController;
use SymfonyComponentHttpFoundationRequest;
use SymfonyComponentHttpFoundationResponse;
class CookieController extends Controller
{
/**
* Créé un cookie interne, via le service de Cookie
*
* @param Request $request
* @return Response
*/
public function setInternalCookieAction(Request $request)
{
try {
if(!$request->request->has('name') || !$request->request->has('value')) {
throw new Exception('Mandatory cookie parameter missing.');
}
$cookieService = $this->container->get('security.cookie');
$response = $cookieService->setInternalCookie('accept-cookies', 1);
}
catch(Exception $e) {
$response = new Response(json_encode(array('success' => false, 'error' => $e->getMessage())));
}
return $response;
}
}
我像这样用 AJAX 来称呼它:
// set cookie via ajax call
$.ajax({
type: "POST",
url: "/set-internal-cookie",
data: {'name': 'cookie-name', value: 'cookie-value'}
dataType: 'json'
});
通过此过程,有人可以轻松找到如何创建自定义 cookie。不安全吗?
一个好的安全过程总是暴露的。默默无闻的安全性虽然有时很有帮助,但并不被认为是一个好的策略。
也就是说:您需要确保完全暴露的 EMC 仍然不会受到损害(或者不合理,具体取决于您的安全需要),例如通过合理安全的加密或其他验证过程。