Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
protection formulaire checkCSRFProtection()
J' essai de protéger un formulaire pour éviter les aller/retour de sousmission d' un formulaire.
J' ai pu voir ici est la qu' il fallait appeler la fonction checkCSRFProtection() au moment du bind du formulaire. Cependant j' ai toujours un message m' indiquant que le __csrf est requis alors que celui est bien posté.
Je ne vois pas ce pourquoi.
Le CSRF permet de s'assurer que le formulaire est soumis par l'utilisateur à qui il a été envoyé. Et pas par un autre.
Il ne permet pas d'éviter qu'un formulaire soit relancé plusieurs fois par une même personne.
Ca il faudra le gérer directement.
Ton formulaire est basé sur un formulaire doctrine (sur une table) où non ?
Peux tu mettre le code du form et du contrôleur ?
Oui en fait le formulaire est déjà vérifié avec un token qui stoké en base c est ce qui permet de reconnaitre celui qui va saisir le formulaire.
Par contre une fois validé je redirige sur un template de remerciement et n' empêche de saisir à nouveau le formulaire.
Comment générer une boite de dialogue obligeant la page a être rappeler dans ce cas si mon token n' est plus dans l'url le formulaire ne sera pas chargé.
J'ai beaucoup de mal à comprendre ce que tu veux.
Tu veux un formulaire qui ne peut être saisi qu'une fois (pour toute, pour une période, en fonction d'un projet...)
Et tu veux gérer cela dans une table (le fait que le formulaire ait été validé une fois).
Par contre, je ne comprend pas ce que le token CSRF vient faire dans une table de vérification ???
Pourrais-tu confirmer que j'ai compris ce que j'ai compris
Tout d' abord merci de ton aide.
Concernant le formulaire je pense que tu n' as compris ce que je fais.
J' ai un token, c 'est plus un hash en fait qui est stocké dans une table.
Ce token est associé a une invitation envoyé par email. Comme cette partie du projet est frontend , cela me permet de qui vient sur le formulaire est de jeter toute personne qui n' est pas invité explicitement.
Jusque la tout va bien. C 'est assez clair ?
La personne X qui est invité doit remplir un formulaire d evaluation avez des champs obligatoires et soumettre son formulaire une fois rempli .
Toujours clair ?
La contrainte.. le formulaire ne doit être saisie 2 fois .. sinon j' ai un doublon sur l' évaluation de X.
C 'est à ce moment la que je pensais utiliser la fonction checkCSRFProtection() pour vérifier que la personne avait déja.
j'ai fini par contourner le problème en utilisant une clé unique (contributor_id) dans mon shéma sur un des champs hidden qui est soumis dans le formulaire.
Comme ça si j' essai de faire un allez retour avec le formulaire j' obtiens été une erreur 500 car la table contient déjà un enregistrement avec le champs unique .
Pas très propre je l' accorde mais ça le mérite de faire ce qui est attendu.
J' avais d' autres idées mais j' ai pas assez de temps pour les tester.
Si tu en as une, je veux bien la lire...
Sur le coup, je pense avoir compris
Tu ne peux pas te servir du token CSRF dans l'optique de cette validation. En effet, il n'est générer que pour s'assurer que la personne qui rempli un formulaire quelconque est bien celle a qui le formulaire a été envoyé. Pour validé que le token a été pris, je procèderais de la manière suivante.
Arrivée dans une action dédiée qui vérifie que la personne a un token viable, brule le token d'invitation (champ boolean ou suppression) et envoie sur un autre écran pour la saisie des informations. L'intégrité de la session permet de garantir l'unicité de la création. Et le token CRSF permet de valider que la session n'as pas été détourner lors de la création.
Est-ce plus simple ?
J'ai fait plus simple.
Ajouter un champs unique dans la base. Ainsi un même contributeur ne peut évaluer 2 fois.
Merci quand même.
Répondre avec citation
Partager