在登录表单中使用CSRF保护

警告:您正在浏览的文档欧宝体育电话欧宝娱乐app下载地址Symfony 3.0，现已不再维护。

读本页的更新版本用于Sy欧宝娱乐app下载地址mfony 6.2(当前稳定版本)。

配置CSRF保护
呈现CSRF字段

跨站请求伪造)．Security组件已经内置了对CSRF的支持。在本文中，您将了解如何在登录表单中使用它。

请注意

登录CSRF攻击不太为人所知。看到伪造登录请求如果你想知道更多细节。

YAML
XML
PHP

                 1 2 3 4 5 6 7 8 9 10
                 # app / config / security.yml安全:#……防火墙:secured_area:#……form_login:#……csrf_token_generator:security.csrf.token_manager
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
                 <！——app/config/security.xml——> .xml<？?> . xml version="1.0" encoding="UTF-8"<srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！——……--><防火墙的名字＝“secured_area”><！——……--><登录csrf-token-generator＝“security.csrf.token_manager”/>防火墙>配置>srv:容器>
                

                 12 3 4 5 6 7 8 9 10 11 12 13 14
                 / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（“secured_area”= >数组（/ /……“form_login”= >数组（/ /……“csrf_token_generator”= >“security.csrf.token_manager”，)，)，)，));
                

Security组件可以进一步配置，但这是它在登录表单中使用CSRF所需的全部信息。

_csrf_token．该隐藏字段必须包含CSRF令牌，该令牌可以通过使用csrf_token函数。该函数需要一个令牌ID，必须设置为进行身份验证使用登录表单时:

嫩枝
PHP

                 12 3 4 5 6 7 8 9 10 11 12
                 {# src / AppBundle /资源/视图/安全/ login.html。树枝#}{#……#}<形式行动＝＂{{path('login')}}＂方法＝“职位”>{#……登录字段#}<输入类型＝“隐藏”的名字＝“_csrf_token”价值＝＂{{csrf_token('authenticate')}}＂><按钮类型＝“提交”>登录按钮>形式>
                

在此之后，您已经保护了登录表单免受CSRF攻击。

提示

您可以通过设置更改字段的名称csrf_parameter并通过设置更改令牌IDcsrf_token_id在您的配置中:

YAML
XML
PHP

                  1 2 3 4 5 6 7 8 9 10 11
                  # app / config / security.yml安全:#……防火墙:secured_area:#……form_login:#……csrf_parameter:_csrf_security_tokencsrf_token_id:a_private_string
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
                  <！——app/config/security.xml——> .xml<？?> . xml version="1.0" encoding="UTF-8"<srv:容器xmlns＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/security”xmlns: xsi＝“http://www.w3.org/2001/XMLSchema-instance”xmlns:深水救生艇＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services”xsi: schemaLocation＝“http://欧宝娱乐app下载地址www.oldmanjams.com/schema/dic/services //www.oldmanjams.com/schema/dic/services/services-1.0.xsd”><配置><！——……--><防火墙的名字＝“secured_area”><！——……--><登录csrf-parameter＝“_csrf_security_token”csrf-token-id＝“a_private_string”/>防火墙>配置>srv:容器>
                 

                  12 3 4 5 6 7 8 9 10 11 12 13 14 15
                  / / app / config / security.php＄容器->loadFromExtension (“安全”，数组（/ /……“防火墙”= >数组（“secured_area”= >数组（/ /……“form_login”= >数组（/ /……“csrf_parameter”= >“_csrf_security_token”，“csrf_token_id”= >“a_private_string”)，)，)，));
                 