Discussion :

[mysth]

Bonjour,

Je ne sais pas exactement comment Zend gère la protection csrf mais quand j'enlève la protection ..je peux me connecter et si je la remet ça ne marche pas.

Dans un autre formulaire, celui d'inscription, j'ai mis la protection csrf..et elle ne me pose aucun souci.

(Je rappelle que j'utilise ZF 1.10)

Merci d'avance pour vos idées.

[MaitrePylos]

Et si tu nous montrait un peu de code !

[mysth]

Désolé pour le gros laps de temps.. Voici le code en question (ici le formulaire de login) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
// And finally add some CSRF protection
        $this->addElement('hash', 'login_csrf', array(
            'salt' => 'unique',
            'decorators' => $this->csrfDecorators
        ));

Le formulaire d'inscription :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
// And finally add some CSRF protection
        $this->addElement('hash', 'register_csrf', array(
            'salt' => 'unique',
            'decorators' => $this->csrfDecorators
        ));

dans celui d'inscription ça marche ...pas dans celui de login...

[r-zo]

euh c'est quoi ton "$this->csrfDecorators" ?

pour ma part, j'ajoute le champ hash de cette façon

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
$hash_name = unique_id_si_plusieurs_hash_dans_meme_page;
$hash = new Zend_Form_Element_Hash( $hash_name, 'mettre ton salt ici', array('salt' => 'unique'));
 
$hash->setDecorators(array(
                     array('ViewHelper', array('helper' => 'formHidden'))
                 ));

si ça peut t'aider

[mysth]

mon csrfDecorators c'est ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
public $csrfDecorators = array(
        'ViewHelper',
        array('Errors',array('class'=>'errorsCsrfLogin','placement'=>'append')),
    );

bon je vais réfléchir à ton code une fois que j'aurais résolu un autre souci que je viens de repérer ^^

[mysth]

Ben écoute ... ça ne m'affiche pas d'erreurs donc si ça ajoute bien la protection (c'est pas facile à tester..) ben merci il me semble que ça marche ... ton idée ...