vendor/contao/core-bundle/src/EventListener/MakeResponsePrivateListener.php line 50

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of Contao.
  7.  *
  8.  * (c) Leo Feyer
  9.  *
  10.  * @license LGPL-3.0-or-later
  11.  */
  13. namespace Contao\CoreBundle\EventListener;
  15. use Contao\CoreBundle\Routing\ScopeMatcher;
  16. use Symfony\Component\HttpFoundation\Cookie;
  17. use Symfony\Component\HttpFoundation\Response;
  18. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  19. use Symfony\Component\HttpKernel\EventListener\AbstractSessionListener;
  21. /**
  22.  * @internal
  23.  */
  24. class MakeResponsePrivateListener
  25. {
  26.     public const DEBUG_HEADER 'Contao-Private-Response-Reason';
  28.     /**
  29.      * @var ScopeMatcher
  30.      */
  31.     private $scopeMatcher;
  33.     public function __construct(ScopeMatcher $scopeMatcher)
  34.     {
  35.         $this->scopeMatcher $scopeMatcher;
  36.     }
  38.     /**
  39.      * Make sure that the current response becomes a private response if any
  40.      * of the following conditions are true.
  41.      *
  42.      *   1. An Authorization header is present and not empty
  43.      *   2. The session was started
  44.      *   3. The response sets a cookie (same reason as 2 but for other cookies than the session cookie)
  45.      *   4. The response has a "Vary: Cookie" header and the request provides at least one cookie
  46.      *
  47.      * Some of this logic is also already implemented in the HttpCache (1, 2 and 3), but we
  48.      * want to make sure it works for any reverse proxy without having to configure too much.
  49.      */
  50.     public function __invoke(ResponseEvent $event): void
  51.     {
  52.         if (!$this->scopeMatcher->isContaoMasterRequest($event)) {
  53.             return;
  54.         }
  56.         $request $event->getRequest();
  57.         $response $event->getResponse();
  59.         // Disable the default Symfony auto cache control
  60.         $response->headers->set(AbstractSessionListener::NO_AUTO_CACHE_CONTROL_HEADER'1');
  62.         // If the response is not cacheable for a reverse proxy, we don't have to do anything anyway
  63.         if (!$response->isCacheable()) {
  64.             return;
  65.         }
  67.         // 1) An Authorization header is present and not empty
  68.         if ('' !== (string) $request->headers->get('Authorization')) {
  69.             $this->makePrivate($response'authorization');
  71.             return;
  72.         }
  74.         // 2) The session was started
  75.         if ($request->hasSession() && $request->getSession()->isStarted()) {
  76.             $this->makePrivate($response'session-cookie');
  78.             return;
  79.         }
  81.         // 3) The response sets a cookie (same reason as 2 but for other cookies than the session cookie)
  82.         $cookies $response->headers->getCookies();
  84.         if (!== \count($cookies)) {
  85.             $this->makePrivate(
  86.                 $response,
  87.                 sprintf('response-cookies (%s)'implode(', 'array_map(
  88.                     static function (Cookie $cookie) {
  89.                         return $cookie->getName();
  90.                     },
  91.                     $cookies
  92.                 )))
  93.             );
  95.             return;
  96.         }
  98.         // 4) The response has a "Vary: Cookie" header and the request provides at least one cookie
  99.         if ($request->cookies->count() && \in_array('cookie'array_map('strtolower'$response->getVary()), true)) {
  100.             $this->makePrivate(
  101.                 $response,
  102.                 sprintf('request-cookies (%s)'implode(', 'array_keys($request->cookies->all())))
  103.             );
  104.         }
  105.     }
  107.     private function makePrivate(Response $responsestring $reason): void
  108.     {
  109.         $response->setPrivate();
  110.         $response->headers->set(self::DEBUG_HEADER$reason);
  111.     }
  112. }