Gestion des CSRF Protection

Version imprimable

06/09/2010, 17h13
dorian53

Gestion des CSRF Protection
Bonjour,

Comment faire abstraction de $request->checkCSRFProtection() pour valider un jeton de protection ?

J'utilise Symfony en tant que librairie et non framework, je ne possède donc pas le package "request".

Je parviens bien à créer le jeton que j'ai placé dans le construct de mon form.
Code:

1 2 3 $token = uniqid(rand()); $_SESSION['token'] = $token; $this->addCSRFProtection($token);
En revanche, j'attends vos conseils pour la validation du jeton.

J'ai pensé réaliser cette étape au niveau du bind() ?
Que faire si le jeton est valide ? Jouer sur le validatorSchema du token ?

Merci,
Dorian

Salut,

Le code utilisé par symfony dans la classe sfWebRequest est le suivant :
Code:

1 2 3 4 5 6 7 8 $form = new BaseForm(); $form->bind($form->isCSRFProtected() ? array($form->getCSRFFieldName() => $this->getParameter($form->getCSRFFieldName())) : array()); if (!$form->isValid()) { throw $form->getErrorSchema(); }
C'est donc bien au niveau du bind que ca se joue.

07/09/2010, 18h32
Michel Rotta
Je ne comprend pas où est le problème.

A priori, tu utilises form indépendamment de symfony, il est conçu pour cela (même si je trouve cela une drôle d'idée, je respecte).

Form, tu le configure (ce que tu sais faire), tu l'alimentes avec un tableau qui correspond à tes données et tu génères l'affichage (avec où sans la gestion d'un CSRF.

Quant tu récupères tes données, tu pratiques de la même manière puis, tu vas lier un tableau avec les données que tu auras récupérées dans le $_post ou tout autre moyen. Et tu peux alors vérifier qu'ils soit correcte et traité.

Dans les données que tu récupères, il y a le contenu du jeton, qu'il suffit de mettre dans le tableau de liaison.

Vu que tu travailles, hors symfony, lorsque tu déclares instancie ton form, tu vas lui mettre trois paramètres
Code:

1 2 $form = new MyForm(arrayDonnée, arrayOptions, 'CSRFSecret');
le fait de mettre le paramètre CSRFSecret va mettre ce qu'il faut, dans l'objet, pour gérer le CSRF.

Dans ton code d'initialisation du form, en plus de la méthode setup, tu à intérêt à créer une méthode getModelName() qui retourne un nom propre à ton form. Ainsi, quant tu vas parcourir les données récupérées (vu que tu n'utilise pas d'objet sfWebRequest) tu vas pouvoir facilement reconnaître les données nécessaires (ou qui proviennent, au choix) du formulaire, elle seront de la forme nomDuForm['champ']. Il suffira de récupérer le nom 'champ' et de s'en servir pour faire un tableau, une procédure standard pour l'application devrait suffire. Dans la foulée, il va récupérer tous ce qui est sensé aller au formulaire, y compris les données pour le CSRF, y compris les données qu'un 'pirate' aura tenté de rajouté et gèrera les problèmes dans le bind du form.

C'est peut-être un peu dense et confu, mais, si tu travailles dessus depuis un certain temps, j'espère que tu m'auras compris, si non, reviens !