2
我通過Symfony2 security documentation有此登錄窗體具有以下嫩枝模板內容:Symfony2中,登錄表單 - CSRF保護
<form action="{{ path('login_check') }}" method="post">
<div class="input form">
<label for="username">Account name or E-mail:</label>
<input type="text" id="username" name="_username" value="{{ last_username }}" required="required" />
</div>
<div class="input form">
<label for="password">Password:</label>
<input type="password" id="password" name="_password" required="required" />
</div>
<input type="hidden" name="_token" value="{{ csrf_token("intention") }}">
<button type="submit">Log In</button>
</form>
我想以這種形式添加CSRF保護。正如你所看到的,我添加了這條線<input type="hidden" name="_token" value="{{ csrf_token("intention") }}">,但我不確定,如果它足以激活這種保護。
我的控制器具有相同形式的文檔,所以它看起來是這樣的:
<?php
// src/Acme/SecurityBundle/Controller/SecurityController.php;
namespace Acme\SecurityBundle\Controller;
use Symfony\Bundle\FrameworkBundle\Controller\Controller;
use Symfony\Component\Security\Core\SecurityContext;
class SecurityController extends Controller
{
public function loginAction()
{
$request = $this->getRequest();
$session = $request->getSession();
// get the login error if there is one
if ($request->attributes->has(SecurityContext::AUTHENTICATION_ERROR)) {
$error = $request->attributes->get(
SecurityContext::AUTHENTICATION_ERROR
);
} else {
$error = $session->get(SecurityContext::AUTHENTICATION_ERROR);
$session->remove(SecurityContext::AUTHENTICATION_ERROR);
}
return $this->render(
'AcmeSecurityBundle:Security:login.html.twig',
array(
// last username entered by the user
'last_username' => $session->get(SecurityContext::LAST_USERNAME),
'error' => $error,
)
);
}
}
所以這是不夠的只是貼上與價值{{ csrf_token("intention") }}一個隱藏的輸入或我要補充的東西到控制器?
你需要調用你的任何表單「form_login」嗎? – Sekai
@Sekai它是用於識別登錄表單的配置項目。在這個項目中,您可以設置選項,例如登錄操作的路線,或者您也可以在此答案中看到csrf提供程序。 –
是的,我同意,但我試圖操縱表單中的令牌(我添加了隨機字符)並提交了我的表單,並且它成功了。 保護是如何工作的? – Sekai