通过 Symfony 3.4 上的 CSRF 令牌保护 jquery Ajax 请求免受 CSRF 攻击

Protect jquery Ajax Requests from CSRF attacks via CSRF token on Symfony 3.4

我有以下 Symfony 控制器:

namespace AppBundle\Controller

use Sensio\Bundle\FrameworkExtraBundle\Configuration\Route;
use Sensio\Bundle\FrameworkExtraBundle\Configuration\Method;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\JsonResponse;

class MyController extends Controller
{
  /**
  * @Route("/form", name="get_form")
  * @Method("GET")
  */
  public function getFormAction(Request $request)
  {
    return $this->render('some_twig.html.twig');
  }

  /**
  * @Route("/form_submit", name="submit_form")
  * @Method("POST")
  */
  public function ajaxFormAction(Request $request)
  {
    if($request->isXmlHttpRequest()){
    return new JsonResponse(['data':"All midori"],JsonResponse::HTTP_OK);
    } else {
     return new JsonResponse(['data':"Echi, hentai, baka"],JsonResponse::HTTP_BAD_REQUEST);
    }
  }
}

表单通过以下 javascript 代码提交:

$("#someform").on('submit',function(e){
    e.preventDefault();

    var self=this; //To avoid Confusion using this
    var url=$(self).attr('action');

    $.ajax({
      'method': "POST",
      'url': url,
      'data': $(self).serialize(),
      'statusCode': {
        400: function(data,textStatus,jqXHR) {
          //Handle Error 400
        },
        500: function(data,textStatus,jqXHR){
         //Handle error 500
        }
      },
      'success':function(data){
        //DO some stuff
      }
    });
  })

但是我在如何保护 Symfony Ajax 方法免受 CSRF 攻击方面遇到了一些麻烦。当我尝试通过在 aeero 发生时形成 CSRF 令牌来保护时,例如。抛出的异常使我的表单变得垃圾。

不保护也不是最好的选择。那么如何有效保护它呢?

通过过期,最好的可行选择是使用 DunglasAngularCsrfBundle(查找文档 here)。在您的示例中,将以下代码放入您的 security.yml:

dunglas_angular_csrf:
  # Collection of patterns where to set the cookie
  cookie:
      set_on:
        - {route: ^get_form, methods: [GET]}
  secure:
    - {route: ^submit_form, methods:[POST]}

然后修改jquery代码如下:

$("#someform").on('submit',function(e){
e.preventDefault();

var self=this; //To avoid Confusion using this
var url=$(self).attr('action');

$.ajax({
  'method': "POST",
  'url': url,
  'data': $(self).serialize(),
  'beforeSend': function(request) {
    request.setRequestHeader('X-XSRF-TOKEN', Cookies.get('XSRF-TOKEN'));
  },
  'statusCode': {
    400: function(data,textStatus,jqXHR) {
      //Handle Error 400
    },
    500: function(data,textStatus,jqXHR){
     //Handle error 500
    }
  },
  'success':function(data){
    //DO some stuff
  }
});


})

我也使用库 js-cookie but you can use the methods mentioned in the following answer 获取 cookie 值。

整个想法是通过 XSRF-TOKEN 获取 CSRF 令牌(应该大写而不是文档中所说的)和 return 通过自定义 http header 获取值X-XSRF-TOKEN(也都应该是大写)。

这样你就可以和漏洞说再见了。