无需重新加载整个表单即可生成新的CSRF令牌
无需重新加载整个表单即可生成新的CSRF令牌
提问于 2012-07-13 16:29:51
如果用户在使用Symfony2应用程序时在后台注销(由于会话过期或其他原因),我已经实现了一个出现在屏幕上的JS层,允许用户立即重新登录并继续使用网站。
问题是,如果用户正在填写表单并注销,那么在使用JS层重新登录后,他仍然会查看具有他已经成功键入的值的相同表单,但是他的会话发生了变化。因此,表单中的CSRF令牌无效。
有没有一种方法可以基于当前会话和特定表单生成新的CSRF令牌,并通过AJAX获取它并在表单中替换?或者也许有其他的解决方案?
我不想禁用CSRF保护。
回答 3
Stack Overflow用户
发布于 2014-05-14 23:03:44
使用此命令重新生成CSRF令牌(从Symfony2.4开始):
$csrf = $this->get('security.csrf.token_manager'); //Symfony\Component\Security\Csrf\CsrfTokenManagerInterface
$token = $csrf->refreshToken($intention); // Intention is specified in form type
return new Response($token);Stack Overflow用户
发布于 2014-10-24 03:52:51
是的,机器人可以获取csrf令牌并将某些内容发布到表单,但由于令牌被绑定到会话,所以这并不重要。CSRF令牌并不是为了阻止机器人提交表单。
Stack Overflow用户
发布于 2012-07-13 16:36:05
对我来说,更简单的解决方案是在相同的表单上重定向用户,传递已通过POST插入的数据。
这样,令牌将以自动方式再次生成。
此外,您不会丢失数据输入。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/11466837
复制相关文章
相似问题