如何安全地调用控制器中的删除操作?
How to call safely a delete action in a Controller?
我创建了一个带有评论系统的博客,我希望作者或管理员删除他的评论。
所以我在网上搜索了一下,但是我只找到了参考 Symfony 2/3 的帖子,我很难理解。
所以我创建了自己的函数
/**
* @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", name="comment_delete")
*/
public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, AuthorizationCheckerInterface $authChecker){
$em = $this->getDoctrine()->getManager();
$comment = $commentRepository->find($id);
$user = $this->getUser();
if ($user->getId() != $comment->getAuthor()->getId() && $authChecker->isGranted('ROLE_MODERATOR') == false ){
throw exception_for("Cette page n'existe pas");
}
$em->remove($comment);
$em->flush();
$this->addFlash('comment_success', 'Commentaire supprimé avec succès');
return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
}
在树枝上,我有这个 link:
<a href="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}">Supprimer</a>
我需要该操作的评论 ID,以及文章 ID 和文章 slug,以便在删除评论后重定向用户。
我查了一下删除评论的人是作者还是版主。
但是,我听说这绝对不安全,因为我必须使用表单,但我真的不知道在这种情况下如何使用表单...或者用 JS 来隐藏 link 给最终用户?
所以我想知道我的功能是否足够安全,或者是否有更好的解决方案以及如何实现它?
为了解决这类问题,我建议使用 Symfony Voters https://symfony.com/doc/current/security/voters.html
您正朝着正确的方向前进。始终在后端进行验证和权限检查。
隐藏 link 或使用表单并将其设置为禁用不会阻止使用开发工具的人向您的控制器发送请求。我宁愿将前端检查视为对用户的便利 - 在发出请求之前直接向他们显示某些数据无效/不允许他们做某事。
我正在使用 SensioFrameworkExtraBundle 进行 ROLE 检查(我仍然不喜欢此类检查的注释.. 嗯)- 如果用户没有获得控制器操作的合适角色,则抛出 permissionDeniedException。
可能需要像使用 $user->getId() != $comment->getAuthor()->getId()
一样进行进一步检查
一种保护您的删除操作的方法,它是做类似的事情:
- 如 Victor Kochkarev 所说,您根据此文档创建投票器 How to Use Voters to Check User Permissions。
<?php
namespace App\Security\Voter;
use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use App\Entity\Comment;
class CommentVoter extends Voter
{
const CAN_DELETE = 'CAN_DELETE';
protected function supports($attribute, $subject)
{
return in_array($attribute, [self::CAN_DELETE]) && $subject instanceof Comment;
}
protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
$user = $token->getUser();
// if the user is anonymous, do not grant access
if (!$user instanceof User) {
return false;
}
/** @var Comment $comment */
$comment = $subject;
switch ($attribute) {
case self::CAN_DELETE:
return $this->canDelete($comment, $user);
}
throw new \LogicException('This code should not be reached!');
}
private function canDelete(Comment $comment, User $user)
{
if($user->getId() !== $comment->getAuthor()->getId() && $user->hasRole('ROLE_MODERATOR') === false) {
return false;
}
return true;
}
}
在您的用户实体中,hasRole 方法可以类似于:
/**
* @param string $role
*/
public function hasRole(string $role)
{
return in_array(strtoupper($role), $this->getRoles(), true);
}
- 在您的模板中,您可以执行以下操作:
{% if is_granted('CAN_DELETE', comment) %}
<form action="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}" method="post">
<input type="hidden" name="_csrf_token" value="{{csrf_token('delete_comment')}}" />
<button>supprimer</button>
</form>
{% endif %}
- 最后,在您的控制器中,您可以执行以下操作:
/**
* @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", methods={"POST"}, name="comment_delete")
*/
public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, EntityManagerInterface $em){
$comment = $commentRepository->find($id);
$csrfToken = $request->request->get('_csrf_token');
if(!$this->isCsrfTokenValid('delete_comment', $csrfToken) || !$this->isGranted('CAN_DELETE', $comment){
throw exception_for("Cette page n'existe pas");
}
$em->remove($comment);
$em->flush();
$this->addFlash('comment_success', 'Commentaire supprimé avec succès');
return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
}
此处您的删除方法受 csrf 令牌和选民保护。
我认为这是一种解决方案的尝试。
我创建了一个带有评论系统的博客,我希望作者或管理员删除他的评论。
所以我在网上搜索了一下,但是我只找到了参考 Symfony 2/3 的帖子,我很难理解。
所以我创建了自己的函数
/**
* @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", name="comment_delete")
*/
public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, AuthorizationCheckerInterface $authChecker){
$em = $this->getDoctrine()->getManager();
$comment = $commentRepository->find($id);
$user = $this->getUser();
if ($user->getId() != $comment->getAuthor()->getId() && $authChecker->isGranted('ROLE_MODERATOR') == false ){
throw exception_for("Cette page n'existe pas");
}
$em->remove($comment);
$em->flush();
$this->addFlash('comment_success', 'Commentaire supprimé avec succès');
return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
}
在树枝上,我有这个 link:
<a href="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}">Supprimer</a>
我需要该操作的评论 ID,以及文章 ID 和文章 slug,以便在删除评论后重定向用户。
我查了一下删除评论的人是作者还是版主。
但是,我听说这绝对不安全,因为我必须使用表单,但我真的不知道在这种情况下如何使用表单...或者用 JS 来隐藏 link 给最终用户?
所以我想知道我的功能是否足够安全,或者是否有更好的解决方案以及如何实现它?
为了解决这类问题,我建议使用 Symfony Voters https://symfony.com/doc/current/security/voters.html
您正朝着正确的方向前进。始终在后端进行验证和权限检查。
隐藏 link 或使用表单并将其设置为禁用不会阻止使用开发工具的人向您的控制器发送请求。我宁愿将前端检查视为对用户的便利 - 在发出请求之前直接向他们显示某些数据无效/不允许他们做某事。
我正在使用 SensioFrameworkExtraBundle 进行 ROLE 检查(我仍然不喜欢此类检查的注释.. 嗯)- 如果用户没有获得控制器操作的合适角色,则抛出 permissionDeniedException。
可能需要像使用 $user->getId() != $comment->getAuthor()->getId()
一种保护您的删除操作的方法,它是做类似的事情:
- 如 Victor Kochkarev 所说,您根据此文档创建投票器 How to Use Voters to Check User Permissions。
<?php
namespace App\Security\Voter;
use App\Entity\User;
use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
use Symfony\Component\Security\Core\Authorization\Voter\Voter;
use App\Entity\Comment;
class CommentVoter extends Voter
{
const CAN_DELETE = 'CAN_DELETE';
protected function supports($attribute, $subject)
{
return in_array($attribute, [self::CAN_DELETE]) && $subject instanceof Comment;
}
protected function voteOnAttribute($attribute, $subject, TokenInterface $token)
{
$user = $token->getUser();
// if the user is anonymous, do not grant access
if (!$user instanceof User) {
return false;
}
/** @var Comment $comment */
$comment = $subject;
switch ($attribute) {
case self::CAN_DELETE:
return $this->canDelete($comment, $user);
}
throw new \LogicException('This code should not be reached!');
}
private function canDelete(Comment $comment, User $user)
{
if($user->getId() !== $comment->getAuthor()->getId() && $user->hasRole('ROLE_MODERATOR') === false) {
return false;
}
return true;
}
}
在您的用户实体中,hasRole 方法可以类似于:
/**
* @param string $role
*/
public function hasRole(string $role)
{
return in_array(strtoupper($role), $this->getRoles(), true);
}
- 在您的模板中,您可以执行以下操作:
{% if is_granted('CAN_DELETE', comment) %}
<form action="{{ path('comment_delete', {'id': comment.id, 'articleId': article.id, 'articleSlug': article.slug}) }}" method="post">
<input type="hidden" name="_csrf_token" value="{{csrf_token('delete_comment')}}" />
<button>supprimer</button>
</form>
{% endif %}
- 最后,在您的控制器中,您可以执行以下操作:
/**
* @Route("/blog/commentDelete/{id}-{articleId}-{articleSlug}", methods={"POST"}, name="comment_delete")
*/
public function commentDelete($id, $articleId, $articleSlug, CommentRepository $commentRepository, EntityManagerInterface $em){
$comment = $commentRepository->find($id);
$csrfToken = $request->request->get('_csrf_token');
if(!$this->isCsrfTokenValid('delete_comment', $csrfToken) || !$this->isGranted('CAN_DELETE', $comment){
throw exception_for("Cette page n'existe pas");
}
$em->remove($comment);
$em->flush();
$this->addFlash('comment_success', 'Commentaire supprimé avec succès');
return $this->redirectToRoute('blog_show', array('id' => $articleId, 'slug' => $articleSlug));
}
此处您的删除方法受 csrf 令牌和选民保护。 我认为这是一种解决方案的尝试。