Discussion :

[saturn1]

Salu, j'ai finis mon admin generator mais le problème vient des actions batch(supprimer) que l'on peut effectuer sur plusieurs objets à la fois.

Quand je fais un symfony cc et que après je sélectionne des objets et que je fais supprimer via le select cela marche.

Mais quand je ferme firefox et le réouvre ou que je vais avec un autre navigateur donc avec une session différente et bien sa me met _csrf_token [CSRF attack detected.] quand je veux supprimer plusieurs objets à la fois.

Je ne sais pas d'ou celà peut venir. Je pense c'est un token différent entre la session et l'input hidden mais comment corriger cela.

Merci

[BobLunique]

C'est parfaitement normal, c'est une protection qui est mise automatiquement dans le but d'éviter qu'un utilisateur ayant de mauvaises intentions, te fasse valider un formulaire sans que tu t'en rende compte ( par exemple ).

Cf : wikipedia Cross Site Request Forgery ( CSRF )

Le token est donc généré a la creation d'un formulaire en fonction d'un parametre dans settings.yml : csrf_secret, de l'identifiant de session, et de la classe du formulaire

extrait de la classe sfForm :
public function getCSRFToken($secret = null)
{
if (is_null($secret))
{
$secret = self::$CSRFSecret;
}

return md5($secret.session_id().get_class($this));
}

et est affiché dans un champ invisble.

Lorsque le formulaire est posté symfony verifie ( automatiquement ) qu'un token a bien été soumis et qu'il correspond bien a :
$secret.session_id().get_class($this)

Du coup, si tu veux une protection csrf non "session_aware" pour un formulaire donné, tu peux dans ta classe de formulaire, redefinir getCSRFToken :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
  public function getCSRFToken($secret = null)
  {
    if (is_null($secret))
    {
      $secret = self::$CSRFSecret;
    }

    return md5($secret.get_class($this));
  }

ça diminuera la qualité de la protection, mais ça te protège toujours, car l'assaillant devra deviner le $secret et la classe du formulaire