vendor/contao/core-bundle/src/Csrf/ContaoCsrfTokenManager.php line 104

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of Contao.
  7.  *
  8.  * (c) Leo Feyer
  9.  *
  10.  * @license LGPL-3.0-or-later
  11.  */
  13. namespace Contao\CoreBundle\Csrf;
  15. use Symfony\Component\HttpFoundation\Request;
  16. use Symfony\Component\HttpFoundation\RequestStack;
  17. use Symfony\Component\Security\Csrf\CsrfToken;
  18. use Symfony\Component\Security\Csrf\CsrfTokenManager;
  19. use Symfony\Component\Security\Csrf\TokenGenerator\TokenGeneratorInterface;
  20. use Symfony\Component\Security\Csrf\TokenStorage\TokenStorageInterface;
  21. use Symfony\Contracts\Service\ResetInterface;
  23. class ContaoCsrfTokenManager extends CsrfTokenManager implements ResetInterface
  24. {
  25.     private RequestStack $requestStack;
  26.     private string $csrfCookiePrefix;
  27.     private ?string $defaultTokenName;
  29.     /**
  30.      * @var array<int, string>
  31.      */
  32.     private array $usedTokenValues = [];
  34.     /**
  35.      * @param string|RequestStack|callable|null $namespace
  36.      */
  37.     public function __construct(RequestStack $requestStackstring $csrfCookiePrefixTokenGeneratorInterface $generator nullTokenStorageInterface $storage null$namespace nullstring $defaultTokenName null)
  38.     {
  39.         $this->requestStack $requestStack;
  40.         $this->csrfCookiePrefix $csrfCookiePrefix;
  41.         $this->defaultTokenName $defaultTokenName;
  43.         parent::__construct($generator$storage$namespace);
  44.     }
  46.     /**
  47.      * @return array<int, string>
  48.      */
  49.     public function getUsedTokenValues(): array
  50.     {
  51.         return $this->usedTokenValues;
  52.     }
  54.     public function getToken($tokenId): CsrfToken
  55.     {
  56.         $token parent::getToken($tokenId);
  57.         $this->usedTokenValues[] = $token->getValue();
  59.         return $token;
  60.     }
  62.     public function refreshToken($tokenId): CsrfToken
  63.     {
  64.         $token parent::refreshToken($tokenId);
  65.         $this->usedTokenValues[] = $token->getValue();
  67.         return $token;
  68.     }
  70.     public function isTokenValid(CsrfToken $token): bool
  71.     {
  72.         if (
  73.             ($request $this->requestStack->getMainRequest())
  74.             && 'POST' === $request->getRealMethod()
  75.             && $this->canSkipTokenValidation($request$this->csrfCookiePrefix.$token->getId())
  76.         ) {
  77.             return true;
  78.         }
  80.         return parent::isTokenValid($token);
  81.     }
  83.     /**
  84.      * Skip the CSRF token validation if the request has no cookies, no
  85.      * authenticated user and the session has not been started.
  86.      */
  87.     public function canSkipTokenValidation(Request $requeststring $tokenCookieName): bool
  88.     {
  89.         return
  90.             !$request->getUserInfo()
  91.             && (
  92.                 === $request->cookies->count()
  93.                 || [$tokenCookieName] === $request->cookies->keys()
  94.             )
  95.             && !($request->hasSession() && $request->getSession()->isStarted());
  96.     }
  98.     public function getDefaultTokenValue(): string
  99.     {
  100.         if (null === $this->defaultTokenName) {
  101.             throw new \RuntimeException('The Contao CSRF token manager was not initialized with a default token name.');
  102.         }
  104.         return $this->getToken($this->defaultTokenName)->getValue();
  105.     }
  107.     public function reset(): void
  108.     {
  109.         $this->usedTokenValues = [];
  110.     }
  111. }