vendor/ezsystems/ezpublish-kernel/eZ/Bundle/EzPublishRestBundle/EventListener/CsrfListener.php line 76

Open in your IDE?
  1. <?php
  3. /**
  4.  * @copyright Copyright (C) eZ Systems AS. All rights reserved.
  5.  * @license For full copyright and license information view LICENSE file distributed with this source code.
  6.  */
  7. namespace eZ\Bundle\EzPublishRestBundle\EventListener;
  9. use Symfony\Component\EventDispatcher\EventDispatcherInterface;
  10. use Symfony\Component\HttpFoundation\Request;
  11. use Symfony\Component\HttpKernel\KernelEvents;
  12. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  13. use Symfony\Component\HttpKernel\Event\GetResponseEvent;
  14. use eZ\Publish\Core\Base\Exceptions\UnauthorizedException;
  15. use eZ\Bundle\EzPublishRestBundle\RestEvents;
  16. use Symfony\Component\Security\Csrf\CsrfToken;
  17. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  19. class CsrfListener implements EventSubscriberInterface
  20. {
  21.     /**
  22.      * Name of the HTTP header containing CSRF token.
  23.      */
  24.     const CSRF_TOKEN_HEADER 'X-CSRF-Token';
  26.     /** @var CsrfTokenManagerInterface|null */
  27.     private $csrfTokenManager;
  29.     /** @var \Symfony\Component\EventDispatcher\EventDispatcherInterface */
  30.     private $eventDispatcher;
  32.     /** @var bool */
  33.     private $csrfEnabled;
  35.     /** @var bool */
  36.     private $csrfTokenIntention;
  38.     /**
  39.      * Note that CSRF provider needs to be optional as it will not be available
  40.      * when CSRF protection is disabled.
  41.      *
  42.      * @param \Symfony\Component\EventDispatcher\EventDispatcherInterface $eventDispatcher
  43.      * @param bool $csrfEnabled
  44.      * @param string $csrfTokenIntention
  45.      * @param CsrfTokenManagerInterface|null $csrfTokenManager
  46.      */
  47.     public function __construct(
  48.         EventDispatcherInterface $eventDispatcher,
  49.         $csrfEnabled,
  50.         $csrfTokenIntention,
  51.         CsrfTokenManagerInterface $csrfTokenManager null
  52.     ) {
  53.         $this->eventDispatcher $eventDispatcher;
  54.         $this->csrfEnabled $csrfEnabled;
  55.         $this->csrfTokenIntention $csrfTokenIntention;
  56.         $this->csrfTokenManager $csrfTokenManager;
  57.     }
  59.     /**
  60.      * @return array
  61.      */
  62.     public static function getSubscribedEvents()
  63.     {
  64.         return [
  65.             KernelEvents::REQUEST => 'onKernelRequest',
  66.         ];
  67.     }
  69.     /**
  70.      * This method validates CSRF token if CSRF protection is enabled.
  71.      *
  72.      * @param \Symfony\Component\HttpKernel\Event\GetResponseEvent $event
  73.      *
  74.      * @throws \eZ\Publish\Core\Base\Exceptions\UnauthorizedException
  75.      */
  76.     public function onKernelRequest(GetResponseEvent $event)
  77.     {
  78.         if (!$event->getRequest()->attributes->get('is_rest_request')) {
  79.             return;
  80.         }
  82.         if (!$this->csrfEnabled) {
  83.             return;
  84.         }
  86.         // skip CSRF validation if no session is running
  87.         if (!$event->getRequest()->getSession()->isStarted()) {
  88.             return;
  89.         }
  91.         if ($this->isMethodSafe($event->getRequest()->getMethod())) {
  92.             return;
  93.         }
  95.         if ($this->isSessionRoute($event->getRequest()->get('_route'))) {
  96.             return;
  97.         }
  99.         if (!$this->checkCsrfToken($event->getRequest())) {
  100.             throw new UnauthorizedException(
  101.                 'Missing or invalid CSRF token',
  102.                 $event->getRequest()->getMethod() . ' ' $event->getRequest()->getPathInfo()
  103.             );
  104.         }
  106.         // Dispatching event so that CSRF token intention can be injected into Legacy Stack
  107.         $this->eventDispatcher->dispatch(RestEvents::REST_CSRF_TOKEN_VALIDATED);
  108.     }
  110.     /**
  111.      * @param string $method
  112.      *
  113.      * @return bool
  114.      */
  115.     protected function isMethodSafe($method)
  116.     {
  117.         return in_array($method, ['GET''HEAD''OPTIONS']);
  118.     }
  120.     /**
  121.      * @param string $route
  122.      *
  123.      * @return bool
  124.      *
  125.      * @deprecated Deprecated since 6.5. Use isSessionRoute() instead.
  126.      */
  127.     protected function isLoginRequest($route)
  128.     {
  129.         return $route === 'ezpublish_rest_createSession';
  130.     }
  132.     /**
  133.      * Tests if a given $route is a session management one.
  134.      *
  135.      * @param string $route
  136.      *
  137.      * @return bool
  138.      */
  139.     protected function isSessionRoute($route)
  140.     {
  141.         return in_array(
  142.             $route,
  143.             ['ezpublish_rest_createSession''ezpublish_rest_refreshSession''ezpublish_rest_deleteSession']
  144.         );
  145.     }
  147.     /**
  148.      * Checks the validity of the request's csrf token header.
  149.      *
  150.      * @param Request $request
  151.      *
  152.      * @return bool true/false if the token is valid/invalid, false if none was found in the request's headers.
  153.      */
  154.     protected function checkCsrfToken(Request $request)
  155.     {
  156.         if (!$request->headers->has(self::CSRF_TOKEN_HEADER)) {
  157.             return false;
  158.         }
  160.         return $this->csrfTokenManager->isTokenValid(
  161.             new CsrfToken(
  162.                 $this->csrfTokenIntention,
  163.                 $request->headers->get(self::CSRF_TOKEN_HEADER)
  164.             )
  165.         );
  166.     }
  167. }