vendor/contao/core-bundle/src/EventListener/RequestTokenListener.php line 68

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of Contao.
  7.  *
  8.  * (c) Leo Feyer
  9.  *
  10.  * @license LGPL-3.0-or-later
  11.  */
  13. namespace Contao\CoreBundle\EventListener;
  15. use Contao\Config;
  16. use Contao\CoreBundle\Csrf\ContaoCsrfTokenManager;
  17. use Contao\CoreBundle\Exception\InvalidRequestTokenException;
  18. use Contao\CoreBundle\Framework\ContaoFramework;
  19. use Contao\CoreBundle\Routing\ScopeMatcher;
  20. use Symfony\Component\HttpFoundation\Request;
  21. use Symfony\Component\HttpKernel\Event\RequestEvent;
  22. use Symfony\Component\Security\Csrf\CsrfToken;
  24. /**
  25.  * Validates the request token if the request is a Contao request.
  26.  *
  27.  * @internal
  28.  */
  29. class RequestTokenListener
  30. {
  31.     /**
  32.      * @var ContaoFramework
  33.      */
  34.     private $framework;
  36.     /**
  37.      * @var ScopeMatcher
  38.      */
  39.     private $scopeMatcher;
  41.     /**
  42.      * @var ContaoCsrfTokenManager
  43.      */
  44.     private $csrfTokenManager;
  46.     /**
  47.      * @var string
  48.      */
  49.     private $csrfTokenName;
  51.     /**
  52.      * @var string
  53.      */
  54.     private $csrfCookiePrefix;
  56.     public function __construct(ContaoFramework $frameworkScopeMatcher $scopeMatcherContaoCsrfTokenManager $csrfTokenManagerstring $csrfTokenNamestring $csrfCookiePrefix 'csrf_')
  57.     {
  58.         $this->framework $framework;
  59.         $this->scopeMatcher $scopeMatcher;
  60.         $this->csrfTokenManager $csrfTokenManager;
  61.         $this->csrfTokenName $csrfTokenName;
  62.         $this->csrfCookiePrefix $csrfCookiePrefix;
  63.     }
  65.     /**
  66.      * @throws InvalidRequestTokenException
  67.      */
  68.     public function __invoke(RequestEvent $event): void
  69.     {
  70.         // Don't do anything if it's not the master request
  71.         if (!$event->isMasterRequest()) {
  72.             return;
  73.         }
  75.         $request $event->getRequest();
  77.         // Only check the request token if a) the request is a POST request, b)
  78.         // the request is not an Ajax request, c) the _token_check attribute is
  79.         // not false, d) the _token_check attribute is set or the request is a
  80.         // Contao request and e) the request has cookies, an authenticated user
  81.         // or the session has been started
  82.         if (
  83.             'POST' !== $request->getRealMethod()
  84.             || $request->isXmlHttpRequest()
  85.             || false === $request->attributes->get('_token_check')
  86.             || $this->csrfTokenManager->canSkipTokenValidation($request$this->csrfCookiePrefix.$this->csrfTokenName)
  87.             || (!$request->attributes->has('_token_check') && !$this->scopeMatcher->isContaoRequest($request))
  88.         ) {
  89.             return;
  90.         }
  92.         /** @var Config $config */
  93.         $config $this->framework->getAdapter(Config::class);
  95.         if (\defined('BYPASS_TOKEN_CHECK')) {
  96.             trigger_deprecation('contao/core-bundle''4.0''Defining the BYPASS_TOKEN_CHECK constant has been deprecated and will no longer work in Contao 5.0.');
  98.             return;
  99.         }
  101.         if ($config->get('disableRefererCheck')) {
  102.             trigger_deprecation('contao/core-bundle''4.0''Using the "disableRefererCheck" setting has been deprecated and will no longer work in Contao 5.0.');
  104.             return;
  105.         }
  107.         if ($config->get('requestTokenWhitelist')) {
  108.             trigger_deprecation('contao/core-bundle''4.0''Using the "requestTokenWhitelist" setting has been deprecated and will no longer work in Contao 5.0.');
  110.             $hostname gethostbyaddr($request->getClientIp());
  112.             foreach ($config->get('requestTokenWhitelist') as $domain) {
  113.                 if ($domain === $hostname || preg_match('/\.'.preg_quote($domain'/').'$/'$hostname)) {
  114.                     return;
  115.                 }
  116.             }
  117.         }
  119.         $token = new CsrfToken($this->csrfTokenName$this->getTokenFromRequest($request));
  121.         if ($this->csrfTokenManager->isTokenValid($token)) {
  122.             return;
  123.         }
  125.         throw new InvalidRequestTokenException('Invalid CSRF token. Please reload the page and try again.');
  126.     }
  128.     private function getTokenFromRequest(Request $request): ?string
  129.     {
  130.         if ($request->request->has('REQUEST_TOKEN')) {
  131.             return $request->request->get('REQUEST_TOKEN');
  132.         }
  134.         // Look for the token inside the root level arrays as they would be in named Symfony forms
  135.         foreach ($request->request as $value) {
  136.             if (\is_array($value) && isset($value['REQUEST_TOKEN'])) {
  137.                 return $value['REQUEST_TOKEN'];
  138.             }
  139.         }
  141.         return null;
  142.     }
  143. }