鍍金池/ 教程/ PHP/ 在登錄表單中使用 CSRF 保護(hù)
如何以非繼承方式自定義方法
如何創(chuàng)建事件監(jiān)聽器
如何以非繼承方式擴(kuò)展一個類
如何記錄消息到不同的文件
如何掌握并創(chuàng)建新的環(huán)境
如何使用 Doctrine DBAL
"XXX is deprecated" E-USER-DEPRECATED 的警告是什么意思?
在登錄表單中使用 CSRF 保護(hù)
如何注冊自定義 DQL 函數(shù)
如何為表單類配置空數(shù)據(jù)
如何嵌入集合表單
如何創(chuàng)建自定義認(rèn)證提供者
如何使用 Apache Router
如何組織配置文件
部署在 Microsoft Azure 云
如何在路由參數(shù)中允許"/"字符
如何在安全,路由,服務(wù)和驗證中使用表達(dá)式
如何對顯示控制臺信息配置 Monolog
如何為一個 Bundle 創(chuàng)建友好的配置
如何改變默認(rèn)的目標(biāo)路徑行為
如何在運行測試之前自定義引導(dǎo)過程
如何從路由向控制器傳輸額外的信息
如何從數(shù)據(jù)庫(實體提供者)讀取安全用戶
如何從 Controller 調(diào)用一個命令
如何創(chuàng)建自定義表單密碼驗證器
如何使用內(nèi)建的 PHP Web 服務(wù)器
如何在功能測試中用 Token 模擬認(rèn)證
配置 Session 文件的保存目錄
理解前端控制器、內(nèi)核及環(huán)境如何協(xié)同工作
如何實現(xiàn)一個簡單的注冊表單
如何使用 Doctrine 擴(kuò)展:Timestampable, Sluggable, Translatable 等等
如何使用多個實體管理器和連接
如何自定義表單渲染
如何安裝第三方 Bundles
使用預(yù)認(rèn)證安全防火墻
如何簡化多個 Bundle 的配置
會話代理實例
安裝 Composer
如何冒充一個用戶
如何注冊一個新的請求格式和 MIME 類型
如何在功能測試中使用分析器
如何在服務(wù)容器內(nèi)設(shè)置外部參數(shù)
如何重寫 Symfony 默認(rèn)的目錄結(jié)構(gòu)
如何在一個 Symfony 控制器中創(chuàng)建一個 SOAP 的 Web 服務(wù)
如何使用序列化
部署在 Platform.sh
升級一個副版本
如何寫一個自定義的 Twig 擴(kuò)展
如何在 SubVersion 中創(chuàng)建并保存一個 Symfony 項目
使用 PHP 庫聯(lián)合,編譯和最小化 Web 資產(chǎn)
如何創(chuàng)建一個自定義的數(shù)據(jù)收集器
如何使用和注冊命名空間路徑
如何使用 Monolog 記錄日志
如何建立一個傳統(tǒng)的登錄表單
如何強(qiáng)制路由總是使用 HTTPS 或者 HTTP
如何在模板中使用 PHP 而不是 Twig
如何動態(tài)選擇密碼加密算法
避免匿名用戶開始 Session 會話
如何測試 Doctrine 倉庫
如何在功能測試中測試一封電子郵件被發(fā)送
Symfony2 與 Symfony1 的區(qū)別
使用結(jié)尾反斜線重定向 URL
(configuration)如何在數(shù)據(jù)庫中使用 PdoSessionHandler 存儲 Sessions
如何使用匹配器有條件地啟用分析器
部署在 Heroku 云
如何不用自定義控制器配置重定向
如何在 Bundle 內(nèi)部加載服務(wù)配置
如何處理不同的錯誤級別
如何在應(yīng)用中保護(hù)服務(wù)和方法
如何對表單單元測試
如何把命令定義為服務(wù)
如何配置 Monolog 從日志中排除 404 錯誤
如何使用控制臺
如何測試與數(shù)據(jù)庫交互的代碼
如何在路由中使用除了 GET 和 POST 的 HTTP 方法
如何使用云服務(wù)發(fā)送電子郵件
如何創(chuàng)建一個控制臺命令
在遺留的應(yīng)用上使用 Symfony Session
如何使用高級的訪問控制列表
如何不用一個自定義的控制器渲染一個模板
如何重寫部分 Bundle
升級一個主版本
安全訪問控制是如何工作的
如何使用 Bundle 的繼承來重寫部分 Bundle
如何使用 Voter 檢查用戶權(quán)限
如何為多個 Doctrine 的實現(xiàn)提供模型類
如何使用作用域
如何部署一個 Symfony 應(yīng)用
如何用 "inherit-data" 減少代碼冗余
如何注冊事件監(jiān)聽器和訂閱
使用 Bower 安裝 Symfony
如何創(chuàng)建一個自定義路由加載器
如何創(chuàng)建一個自定義的驗證限制
在獨立注入類中使用參數(shù)
如何使用 Assetic 和 Twig Functions 進(jìn)行圖像優(yōu)化
如何利用表單事件動態(tài)修改表單
如何在過濾器的前后設(shè)置事件分發(fā)器
如何在 Bundle 中使用 Compiler Passes
緩存包含 CSRF 保護(hù)表單的頁面
如何注入變量到所有的模板(如全局變量)
如何創(chuàng)建一個自定義表單域類型
如何限定防火墻使其只允許通過指定請求
如何把 Controller 定義為服務(wù)
如何使用 Gmail 發(fā)送郵件
升級一個補(bǔ)丁版本
如何創(chuàng)建一個表單類型擴(kuò)展
如何對不同的 URL 強(qiáng)制使用 HTTPS 或者 HTTP
如何使用 Varnish 加速我的 Web 站點
如何定義虛擬類和接口之間的關(guān)系
如何自定義登錄表單
如何測試多個客戶端的交互
PSR-7 Bridge
如何使用 YUI Compressor 裁剪 Javascripts 和 Stylesheets
在用戶的 Session 中使用局部 "Sticky"
如何定制錯誤頁
如何從已存在的數(shù)據(jù)庫中生成實體
如何用 Doctrine 上傳文件
可復(fù)用 Bundles 的最佳實踐
如何發(fā)送一封電子郵件
如何將 Assetic Filter 應(yīng)用到具體的文件擴(kuò)展名上
切換分析器存儲
如何上傳文件
限制 Session 元數(shù)據(jù)的寫入
如何使用多用戶提供者
如何使用數(shù)據(jù)轉(zhuǎn)換
配置一個 Web 服務(wù)器
如何編程訪問分析器數(shù)據(jù)
如何在路由中使用服務(wù)容器參數(shù)
如何在控制臺生成 URL 和發(fā)送郵件
如何將你的開發(fā)環(huán)境優(yōu)化為調(diào)試環(huán)境
如何在控制臺命令中啟用日志
如何在功能測試中模擬 HTTP 認(rèn)證
如何使用 API 驗證用戶
如何移除 AcmeDemoBundle
控制臺命令
如何配置 Symfony 使其工作在負(fù)載均衡和反轉(zhuǎn)代理
如何添加“記住我”登錄功能
如何使用 Assetic 進(jìn)行資產(chǎn)管理
如何限定防火墻使其接受指定主機(jī)
如何使用訪問控制列表(ACLs)
如何裁剪 CSS/JS 文件(使用 UglifyJS 和 UglifyCSS)
如何緩存電子郵件
如何使用 submit() 函數(shù)處理表單提交
如何在 Git 中創(chuàng)建并保存一個 Symfony 項目
如何創(chuàng)建自定義用戶提供者
如何對電子郵件錯誤配置 Monolog
如何在開發(fā)時使用電子郵件

在登錄表單中使用 CSRF 保護(hù)

當(dāng)使用一個登錄表單時,您應(yīng)該確??梢缘钟?CSRF (跨站點請求偽造)。安全組件已經(jīng)對 CSRF 內(nèi)置支持。在這篇文章中,您將學(xué)習(xí)如何在登錄表單中使用它。

登錄 CSRF 并不是特別知名。如果您想要知道更多詳細(xì)信息,請參閱鍛造登錄請求。

配置 CSRF 保護(hù)

首先,配置安全組件來讓它可以使用 CSRF 保護(hù)。安全組件需要 CSRF 令牌提供程序。您可以使用安全組件中默認(rèn)的提供程序:

YMAL:

# app/config/security.yml
security:
    firewalls:
        secured_area:
            # ...
            form_login:
                # ...
                csrf_provider: security.csrf.token_manager

XML:

<!-- app/config/config.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<srv:container xmlns="http://symfony.com/schema/dic/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:srv="http://symfony.com/schema/dic/services"
    xsi:schemaLocation="http://symfony.com/schema/dic/services http://symfony.com/schema/dic/services/services-1.0.xsd">

    <config>
        <firewall name="secured_area">
            <!-- ... -->

            <form-login csrf-provider="security.csrf.token_manager" />
        </firewall>
    </config>
</srv:container>

PHP:

// app/config/security.php
$container->loadFromExtension('security', array(
    'firewalls' => array(
        'secured_area' => array(
            // ...
            'form_login' => array(
                // ...
                'csrf_provider' => 'security.csrf.token_manager',
            )
        )
    )
));

可以進(jìn)一步配置安全組件,但這必須要能夠在登錄表單中使用 CSRF 攻擊所需的所有信息。

渲染 CSRF 字段

既然該安全組件將檢查 CSRF 令牌,您必須向包含 CSRF 令牌的登錄表單中添加隱藏的字段。默認(rèn)情況下,此字段被命名為 _csrf_token。該隱藏的字段必須包含 CSRF 令牌,該令牌可以使用 csrf_token 函數(shù)生成。該函數(shù)需要一個令牌的 ID,并且當(dāng)使用登陸表單的時候該 ID 必須用來進(jìn)行身份驗證

Twig:

{# src/Acme/SecurityBundle/Resources/views/Security/login.html.twig #}

{# ... #}
<form action="{{ path('login_check') }}" method="post">
    {# ... the login fields #}

    <input type="hidden" name="_csrf_token"
        value="{{ csrf_token('authenticate') }}"
    >

    <button type="submit">login</button>
</form>

PHP:

<!-- src/Acme/SecurityBundle/Resources/views/Security/login.html.php -->

<!-- ... -->
<form action="<?php echo $view['router']->generate('login_check') ?>" method="post">
    <!-- ... the login fields -->

    <input type="hidden" name="_csrf_token"
        value="<?php echo $view['form']->csrfToken('authenticate') ?>"
    >

    <button type="submit">login</button>
</form>

經(jīng)過上述步驟,您已經(jīng)可以防御 CSRF 攻擊您登錄表單了。

您可以通過設(shè)置 csrf_parameter 來更改字段的名稱并通過在您的配置中設(shè)置意愿來更改令牌 ID :

YAML:

# app/config/security.yml
security:
    firewalls:
        secured_area:
            # ...
            form_login:
                # ...
                csrf_parameter: _csrf_security_token
                intention: a_private_string

XML:

<!-- app/config/config.xml -->
<?xml version="1.0" encoding="UTF-8" ?>
<srv:container xmlns="http://symfony.com/schema/dic/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:srv="http://symfony.com/schema/dic/services"
    xsi:schemaLocation="http://symfony.com/schema/dic/services http://symfony.com/schema/dic/services/services-1.0.xsd">

    <config>
        <firewall name="secured_area">
            <!-- ... -->

            <form-login csrf-parameter="_csrf_security_token"
                intention="a_private_string" />
        </firewall>
    </config>
</srv:container>

PHP:

// app/config/security.php
$container->loadFromExtension('security', array(
    'firewalls' => array(
        'secured_area' => array(
            // ...
            'form_login' => array(
                // ...
                'csrf_parameter' => '_csrf_security_token',
                'intention'      => 'a_private_string',
            )
        )
    )
));