Discussion :

[Lindys]

Bonjour à tous

J'ai un problème avec mon formulaire lors de sa validation.

Je l'ai créé moi même, mais lorsque je le valide j'ai l'erreur que quelques uns ont déjà sur ce forum:
_csrf_token[Required.]

Sauf que dans les autres sujets, la plupart l'ont résolu en mettant qqch du genre $form->renderHiddenFields
Sauf que moi, ça me met rien quand je fais un echo de ça ^^' et aussi que les formulaires étaient extends sfFormDoctrine, ce que j'ai pas moi, mais je sais pas où il faut y changer si ça vient de là.

Comme mes fichiers pour faire le formulaire sont assez long, je n'ai pas mis de code, mais si vous avez besoin d'un morceau, dites le moi.

[mixka13]

Salut,
as-tu bien fait attention a ce que $form->renderHiddenFields() soit bien placé entre les balises <form></form> de ton template.

EDIT : et aussi ne fait pas que rafraichir la page, sinon ton form sera bien a jour avec un champs _csrf_token mais sans valeur dedans.

[mactar85]

salut il faut commenter la ligne:
# csrf_secret: UniqueSecret
dans le fichier settings.yml et ensuite faire un clear cache

[gototog]

quand tu l'affiche, le champs est hidden, n'apparait-il pas dans le formulaire en regardant le code source html?

[afinn]

Dans le template:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<form>
<?php echo $form->renderHiddenFields(); ?>
OU
<?php echo $form['_csrf_token']->render(); ?>
 
...
</form>

Sinon, dans la class du form:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
class monForm extends BaseForm{
 
public function configure(){
 
$this->disableCSRFProtection();
 
.....

En revanche cette dernière solution désactive la protection, et créé de ce fait une faille de sécurité. Donc a éviter dans le cas d'un formulaire executant une action sensible (effacer un élément/login etc...) en revanche dans le cas d'un filtre par exemple, aucun risque.

Je déconseille fortement de le désactiver dans settings.yml, ce qui désactiverai la protection sur tout le site, et cette protection n'est pas là par hasard. Elle permet d’éviter des attaques de type csrf (http://fr.wikipedia.org/wiki/Cross-site_request_forgery).