Discussion :

[insane1]

Bonjour,
Je viens de déployer mon application sur mon serveur.
Arrivant à la page de connexion, j'entre mes identifiants et mot de passe, tout fonctionne bien...
Sauf sur IE. En effet, impossible de me connecter sur l'appli en utilisant IE (FireFox et Chrome pas de problèmes).
Je reçois une alerte "csrf token: CSRF attack detected."

C'est étrange, car quand je développais en local, je n'ai jamais eu cette erreur même avec IE...

J'utilise le plugin sfDoctrineGuardPlugin.

Avez vous une idée du pourquoi ?

[insane1]

En désactivant la protection CSRF sur ce form je ne vois plus l'erreur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$this->disableLocalCSRFProtection();

Mais le système ne m'affiche pas la page voulue...
Il reste sur la page de login. (signinSuccess)

[mathieu44800]

Bonjour,

Aurais tu un petit bout de code sur ta manière d'utiliser ce plugin ??

C'est étonnant que tu n'ai pas cette erreur sur d'autres navigateurs, serait-ce un problème de cache ??

Le CRSF, ne le désactive pas, c'est un conseil, il s'agit d'un protection de sécurité, qui permet de sécuriser tes formulaires grâce à l'ajout d'un token de sécurité dans chacun d'eux...

Cordialement,

Mathieu

[insane1]

Ma manière d'utiliser ce plugin est celle de base, je n'ai pas touché au code du plugin...

Oui je sais qu'il est déconseillé de désactiver la protection csrf, je l'ai fais dans l'unique but de voir si IE arrivait à se connecter en n'ayant pas cette validation à faire... Et il se trouve que non.

J'ai vidé maintes fois le cache mais cela ne change rien...

De plus sous Chrome ou FF, aucun problèmes

[mathieu44800]

Bonjour,

Tu peux nous mettre un petit bout de code, qu'on appréhende mieux ton problème ??

A vu de nez, tu dois mal rediriger lors du submit, c'est pour ça que le framework te renvoie une attaque potentielle !!!

Cordialement,

Mathieu

[insane1]

Il n'y a justement aucun code à montrer, j'ai juste une application sécurisée.
Donc lorsqu'on est pas connecté, on voit le formulaire de connexion de sfDotrineGuardPlugin.
Le module sfGuardAuth est bien activé, ainsi que sfGuardGroup, sfGuardUser et sfGuardPermission...

[Maerlyn31]

Hello,

Pour avancer un peu, pourrais-tu nous montrer le code du formulaire généré par FF, puis par IE ? Si il s'agit d'une différence de comportement entre deux navigateur, il s'agit forcément d'un problème d'interprétation, tu as peut être un id de formulaire ou de champ qui est uniquement numérique, ou quelque chose du genre ...

Sous FF, avec l'extension WebDebugToolbar, tu peux lancer une validation du code dans Outils => Valider le HTML local ... peut être une autre piste à explorer !

Bon courage en tout cas, j'ai déjà eu ce genre de soucis avec un IE capricieux, la seule solution a été ... en fait on a jamais trouvé, on a implémenter quelque chose de complètement différent qui a fonctionné du premier coup, et les causes du bug sont restées mystérieuses

[mathieu44800]

Moi je dis obligatoirement un problème de cache...

[insane1]

Voici le code du formulaire généré par FF :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<div id="signin_container" class="signin_container">
 
<form action="/index.php/guard/login" method="post">
  <table class="signin_table">
    <tbody>
      <tr>
  <th><label for="signin_username">Nom d'utilisateur</label></th>
  <td><input type="text" name="signin[username]" id="signin_username" /></td>
</tr>
<tr>
  <th><label for="signin_password">Password</label></th>
 
  <td><input type="password" name="signin[password]" id="signin_password" /><input type="hidden" name="signin[_csrf_token]" value="01c9e116a75614e74e04228a61562b14" id="signin__csrf_token" /></td>
</tr>
    </tbody>
    <tfoot>
      <tr>
        <td colspan="2">
          <input type="submit" value="Se connecter" />
 
 
                  </td>
      </tr>
 
    </tfoot>
  </table>
</form>
</div>

et voici celui généré par IE :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<div id="signin_container" class="signin_container">
<form action="/index.php/guard/login" method="post">
  <table class="signin_table">
    <tbody>
      <tr>
  <th><label for="signin_username">Nom d'utilisateur</label></th>
  <td><input type="text" name="signin[username]" id="signin_username" /></td>
</tr>
<tr>
  <th><label for="signin_password">Password</label></th>
  <td><input type="password" name="signin[password]" id="signin_password" /><input type="hidden" name="signin[_csrf_token]" value="3fcccb590f6264252662039d9cda4be4" id="signin__csrf_token" /></td>
</tr>
    </tbody>
    <tfoot>
      <tr>
        <td colspan="2">
          <input type="submit" value="Se connecter" />
 
 
                  </td>
      </tr>
    </tfoot>
  </table>
</form>
</div>

[mathieu44800]

Le champ hidden "_csrf_token" est bien présent sur les deux...

C'est un problème de cahe, j'en suis persuadé !!!

Cordialement,

Mathieu

[Michel Rotta]

Essayes de vider le cache.

Essayes sur une autre machine.

Quel version IE as-tu testées ?

[insane1]

J'ai vidé le cache, çà ne résout pas le problème.
J'ai testé IE7, 8 et 9.

Sur une autre machine, le problème persiste.

EDIT : Il semblerait que le problème vienne de l'heure du serveur (qui retardait d'environ 45 minutes ). En remettant la bonne heure, j'arrive à m'y connecter depuis une autre machine.
Par contre sur la mienne, même en vidant mon cache / cookies impossible de m'y connecter...
Mais bon, ce n'est pas important, du moment que les utilisateurs peuvent utiliser IE

Merci aux personnes qui ont essayé de m'aider.