vendor/ibexa/rest/src/bundle/EventListener/CsrfListener.php line 84

Open in your IDE?
  1. <?php
  3. /**
  4.  * @copyright Copyright (C) Ibexa AS. All rights reserved.
  5.  * @license For full copyright and license information view LICENSE file distributed with this source code.
  6.  */
  7. namespace Ibexa\Bundle\Rest\EventListener;
  9. use Ibexa\Bundle\Rest\RestEvents;
  10. use Ibexa\Core\Base\Exceptions\UnauthorizedException;
  11. use Symfony\Component\EventDispatcher\EventDispatcherInterface;
  12. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  13. use Symfony\Component\HttpFoundation\Request;
  14. use Symfony\Component\HttpKernel\Event\RequestEvent;
  15. use Symfony\Component\HttpKernel\KernelEvents;
  16. use Symfony\Component\Security\Csrf\CsrfToken;
  17. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  19. class CsrfListener implements EventSubscriberInterface
  20. {
  21.     /**
  22.      * Name of the HTTP header containing CSRF token.
  23.      */
  24.     public const CSRF_TOKEN_HEADER 'X-CSRF-Token';
  26.     /**
  27.      * @var \Symfony\Component\Security\Csrf\CsrfTokenManagerInterface|null
  28.      */
  29.     private $csrfTokenManager;
  31.     /**
  32.      * @var \Symfony\Component\EventDispatcher\EventDispatcherInterface
  33.      */
  34.     private $eventDispatcher;
  36.     /**
  37.      * @var bool
  38.      */
  39.     private $csrfEnabled;
  41.     /**
  42.      * @var bool
  43.      */
  44.     private $csrfTokenIntention;
  46.     /**
  47.      * Note that CSRF provider needs to be optional as it will not be available
  48.      * when CSRF protection is disabled.
  49.      *
  50.      * @param \Symfony\Component\EventDispatcher\EventDispatcherInterface $eventDispatcher
  51.      * @param bool $csrfEnabled
  52.      * @param string $csrfTokenIntention
  53.      * @param \Symfony\Component\Security\Csrf\CsrfTokenManagerInterface|null $csrfTokenManager
  54.      */
  55.     public function __construct(
  56.         EventDispatcherInterface $eventDispatcher,
  57.         $csrfEnabled,
  58.         $csrfTokenIntention,
  59.         CsrfTokenManagerInterface $csrfTokenManager null
  60.     ) {
  61.         $this->eventDispatcher $eventDispatcher;
  62.         $this->csrfEnabled $csrfEnabled;
  63.         $this->csrfTokenIntention $csrfTokenIntention;
  64.         $this->csrfTokenManager $csrfTokenManager;
  65.     }
  67.     /**
  68.      * @return array
  69.      */
  70.     public static function getSubscribedEvents()
  71.     {
  72.         return [
  73.             KernelEvents::REQUEST => 'onKernelRequest',
  74.         ];
  75.     }
  77.     /**
  78.      * This method validates CSRF token if CSRF protection is enabled.
  79.      *
  80.      * @param \Symfony\Component\HttpKernel\Event\RequestEvent $event
  81.      *
  82.      * @throws \Ibexa\Core\Base\Exceptions\UnauthorizedException
  83.      */
  84.     public function onKernelRequest(RequestEvent $event)
  85.     {
  86.         if (!$event->getRequest()->attributes->get('is_rest_request')) {
  87.             return;
  88.         }
  90.         if (!$this->csrfEnabled) {
  91.             return;
  92.         }
  94.         // skip CSRF validation if no session is running
  95.         if (!$event->getRequest()->getSession()->isStarted()) {
  96.             return;
  97.         }
  99.         if ($this->isMethodSafe($event->getRequest()->getMethod())) {
  100.             return;
  101.         }
  103.         if ($this->isSessionRoute($event->getRequest()->get('_route'))) {
  104.             return;
  105.         }
  107.         if (!$event->getRequest()->attributes->getBoolean('csrf_protection'true)) {
  108.             return;
  109.         }
  111.         if (!$this->checkCsrfToken($event->getRequest())) {
  112.             throw new UnauthorizedException(
  113.                 'Missing or invalid CSRF token',
  114.                 $event->getRequest()->getMethod() . ' ' $event->getRequest()->getPathInfo()
  115.             );
  116.         }
  118.         // Dispatching event so that CSRF token intention can be injected into Legacy Stack
  119.         $this->eventDispatcher->dispatch($eventRestEvents::REST_CSRF_TOKEN_VALIDATED);
  120.     }
  122.     /**
  123.      * @param string $method
  124.      *
  125.      * @return bool
  126.      */
  127.     protected function isMethodSafe($method)
  128.     {
  129.         return in_array($method, ['GET''HEAD''OPTIONS']);
  130.     }
  132.     /**
  133.      * @param string $route
  134.      *
  135.      * @return bool
  136.      *
  137.      * @deprecated Deprecated since 6.5. Use isSessionRoute() instead.
  138.      */
  139.     protected function isLoginRequest($route)
  140.     {
  141.         return $route === 'ibexa.rest.create_session';
  142.     }
  144.     /**
  145.      * Tests if a given $route is a session management one.
  146.      *
  147.      * @param string $route
  148.      *
  149.      * @return bool
  150.      *
  151.      * @deprecated since Ibexa DXP 3.3.7. Add csrf_protection: false attribute to route definition instead.
  152.      */
  153.     protected function isSessionRoute($route)
  154.     {
  155.         return in_array(
  156.             $route,
  157.             ['ibexa.rest.create_session''ibexa.rest.refresh_session''ibexa.rest.delete_session']
  158.         );
  159.     }
  161.     /**
  162.      * Checks the validity of the request's csrf token header.
  163.      *
  164.      * @param \Symfony\Component\HttpFoundation\Request $request
  165.      *
  166.      * @return bool true/false if the token is valid/invalid, false if none was found in the request's headers
  167.      */
  168.     protected function checkCsrfToken(Request $request)
  169.     {
  170.         if (!$request->headers->has(self::CSRF_TOKEN_HEADER)) {
  171.             return false;
  172.         }
  174.         return $this->csrfTokenManager->isTokenValid(
  175.             new CsrfToken(
  176.                 $this->csrfTokenIntention,
  177.                 $request->headers->get(self::CSRF_TOKEN_HEADER)
  178.             )
  179.         );
  180.     }
  181. }
  183. class_alias(CsrfListener::class, 'EzSystems\EzPlatformRestBundle\EventListener\CsrfListener');