vendor/contao/core-bundle/src/EventListener/CsrfTokenCookieSubscriber.php line 50

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of Contao.
  7.  *
  8.  * (c) Leo Feyer
  9.  *
  10.  * @license LGPL-3.0-or-later
  11.  */
  13. namespace Contao\CoreBundle\EventListener;
  15. use Contao\CoreBundle\Csrf\MemoryTokenStorage;
  16. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  17. use Symfony\Component\HttpFoundation\Cookie;
  18. use Symfony\Component\HttpFoundation\ParameterBag;
  19. use Symfony\Component\HttpFoundation\Request;
  20. use Symfony\Component\HttpFoundation\Response;
  21. use Symfony\Component\HttpFoundation\ResponseHeaderBag;
  22. use Symfony\Component\HttpKernel\Event\RequestEvent;
  23. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  24. use Symfony\Component\HttpKernel\KernelEvents;
  26. /**
  27.  * @internal
  28.  */
  29. class CsrfTokenCookieSubscriber implements EventSubscriberInterface
  30. {
  31.     /**
  32.      * @var MemoryTokenStorage
  33.      */
  34.     private $tokenStorage;
  36.     /**
  37.      * @var string
  38.      */
  39.     private $cookiePrefix;
  41.     public function __construct(MemoryTokenStorage $tokenStoragestring $cookiePrefix 'csrf_')
  42.     {
  43.         $this->tokenStorage $tokenStorage;
  44.         $this->cookiePrefix $cookiePrefix;
  45.     }
  47.     /**
  48.      * Reads the cookies from the request and injects them into the storage.
  49.      */
  50.     public function onKernelRequest(RequestEvent $event): void
  51.     {
  52.         if (!$event->isMasterRequest()) {
  53.             return;
  54.         }
  56.         $this->tokenStorage->initialize($this->getTokensFromCookies($event->getRequest()->cookies));
  57.     }
  59.     /**
  60.      * Adds the token cookies to the response.
  61.      */
  62.     public function onKernelResponse(ResponseEvent $event): void
  63.     {
  64.         if (!$event->isMasterRequest()) {
  65.             return;
  66.         }
  68.         $request $event->getRequest();
  69.         $response $event->getResponse();
  71.         if ($this->requiresCsrf($request$response)) {
  72.             $this->setCookies($request$response);
  73.         } elseif ($response->isSuccessful()) {
  74.             // Only delete the CSRF token cookie if the response is successful (#2252)
  75.             $this->removeCookies($request$response);
  76.             $this->replaceTokenOccurrences($response);
  77.         }
  78.     }
  80.     public static function getSubscribedEvents(): array
  81.     {
  82.         return [
  83.             // The priority must be higher than the one of the Symfony route listener (defaults to 32)
  84.             KernelEvents::REQUEST => ['onKernelRequest'36],
  85.             // The priority must be higher than the one of the make-response-private listener (defaults to -896)
  86.             KernelEvents::RESPONSE => ['onKernelResponse', -832],
  87.         ];
  88.     }
  90.     private function requiresCsrf(Request $requestResponse $response): bool
  91.     {
  92.         foreach ($request->cookies as $key => $value) {
  93.             if (!$this->isCsrfCookie($key$value)) {
  94.                 return true;
  95.             }
  96.         }
  98.         if (\count($response->headers->getCookies(ResponseHeaderBag::COOKIES_ARRAY))) {
  99.             return true;
  100.         }
  102.         if ($request->getUserInfo()) {
  103.             return true;
  104.         }
  106.         if ($request->hasSession() && $request->getSession()->isStarted()) {
  107.             return true;
  108.         }
  110.         return false;
  111.     }
  113.     private function setCookies(Request $requestResponse $response): void
  114.     {
  115.         $isSecure $request->isSecure();
  116.         $basePath $request->getBasePath() ?: '/';
  118.         foreach ($this->tokenStorage->getUsedTokens() as $key => $value) {
  119.             $cookieKey $this->cookiePrefix.$key;
  121.             // The cookie already exists
  122.             if ($request->cookies->has($cookieKey) && $value === $request->cookies->get($cookieKey)) {
  123.                 continue;
  124.             }
  126.             $expires null === $value 0;
  128.             $response->headers->setCookie(
  129.                 new Cookie($cookieKey$value$expires$basePathnull$isSecuretruefalseCookie::SAMESITE_LAX)
  130.             );
  131.         }
  132.     }
  134.     private function replaceTokenOccurrences(Response $response): void
  135.     {
  136.         // Return if the response is not an HTML document
  137.         if (false === stripos((string) $response->headers->get('Content-Type'), 'text/html')) {
  138.             return;
  139.         }
  141.         $content $response->getContent();
  142.         $tokens $this->tokenStorage->getUsedTokens();
  144.         if (!\is_string($content) || empty($tokens)) {
  145.             return;
  146.         }
  148.         $content str_replace($tokens''$content$replacedCount);
  150.         if ($replacedCount <= 0) {
  151.             return;
  152.         }
  154.         $response->setContent($content);
  156.         // Remove the Content-Length header now that we have changed the
  157.         // content length (see #2416). Do not add the header or adjust an
  158.         // existing one (see symfony/symfony#1846).
  159.         $response->headers->remove('Content-Length');
  160.     }
  162.     private function removeCookies(Request $requestResponse $response): void
  163.     {
  164.         $isSecure $request->isSecure();
  165.         $basePath $request->getBasePath() ?: '/';
  167.         foreach ($request->cookies as $key => $value) {
  168.             if ($this->isCsrfCookie($key$value)) {
  169.                 $response->headers->clearCookie($key$basePathnull$isSecure);
  170.             }
  171.         }
  172.     }
  174.     /**
  175.      * @return array<string,string>
  176.      */
  177.     private function getTokensFromCookies(ParameterBag $cookies): array
  178.     {
  179.         $tokens = [];
  181.         foreach ($cookies as $key => $value) {
  182.             if ($this->isCsrfCookie($key$value)) {
  183.                 $tokens[substr($key, \strlen($this->cookiePrefix))] = $value;
  184.             }
  185.         }
  187.         return $tokens;
  188.     }
  190.     private function isCsrfCookie($key$value): bool
  191.     {
  192.         if (!\is_string($key)) {
  193.             return false;
  194.         }
  196.         return === strpos($key$this->cookiePrefix) && preg_match('/^[a-z0-9_-]+$/i'$value);
  197.     }
  198. }