Как реализовать защиту от CSRF с Slim 4 и slim/csrf?

Question

Как реализовать защиту от CSRF с Slim 4 и slim/csrf?

Slim 4 уже здесь, и я пытаюсь перейти на Slim 4. Все отлично, но CSRF выдает ошибку, когда я пытаюсь это реализовать. Я пробовал простейшую настройку, но я получаю эту ошибку:

Сообщение: Аргумент 2, передаваемый Slim\Csrf\Guard::__invoke(), должен быть экземпляром Psr \ Http \ Message \ ResponseInterface, заданным экземпляром Slim \ Routing \ RouteRunner, называемым в / Volumes / Web / slim / vendor / slim /slim/Slim/MiddlewareDispatcher.php в строке 180
Файл: /Volumes/Web/slim/vendor/slim/csrf/src/Guard.php

Вот мой код:

<?php
use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;
use Slim\Factory\AppFactory;
use Slim\Csrf\Guard;

require __DIR__ . '/../vendor/autoload.php';

/**
 * Instantiate App
 *
 * In order for the factory to work you need to ensure you have installed
 * a supported PSR-7 implementation of your choice e.g.: Slim PSR-7 and a supported
 * ServerRequest creator (included with Slim PSR-7)
 */
$app = AppFactory::create();

$app->add(Guard::class);

// Add Routing Middleware
$app->addRoutingMiddleware();

/*
 * Add Error Handling Middleware
 *
 * @param bool $displayErrorDetails -> Should be set to false in production
 * @param bool $logErrors -> Parameter is passed to the default ErrorHandler
 * @param bool $logErrorDetails -> Display error details in error log
 * which can be replaced by a callable of your choice.

 * Note: This middleware should be added last. It will not handle any exceptions/errors
 * for middleware added after it.
 */
$errorMiddleware = $app->addErrorMiddleware(true, true, true);

// Define app routes
$app->get('/', function (Request $request, Response $response, $args) {
    $response->getBody()->write('Hello');
    return $response;
});

// Run app
$app->run();

Любая помощь с благодарностью! Спасибо!

1

php csrf middleware slim slim-4

Источник

user2453186 27 авг '19 в 21:27

2 ответа

Решение

Соответствующий бит:

$app->add(Guard::class);

Подпись обратных вызовов промежуточного программного обеспечения изменилась. В Slim/3 это было так:

public function __invoke(
    ServerRequestInterface $request,
    ResponseInterface $response,
    callable $next
): ResponseInterface

... а затем метод должен был вызвать $next любить $next($request, $response),

В Slim/4 это так:

public function __invoke(
    ServerRequestInterface $request,
    RequestHandlerInterface $handler
): ResponseInterface

.. и внутренний вызов $handler является $handler->handle($request),

Библиотека, кажется, не была обновлена для Slim/4. Он объявляет Slim/3 как зависимость dev (?) В composer.json и упоминает в README.md. Возможно, не очень сложно либо исправить библиотеку, либо написать совместимую оболочку поверх нее, но если вы не знакомы с общей экосистемой, возможно, проще установить замену.

0

Источник

user13508 28 авг '19 в 18:08

Другие вопросы по тегам php csrf middleware slim slim-4

user3294859 29 авг '19 в 15:07 2019-08-29 15:07 · Accepted Answer · 2019-08-29 15:07

Пакет не совместим с Slim4. Я написал обертку, чтобы вы могли использовать ее.

`

<?php

declare(strict_types=1);

namespace App\Application\Middleware;

use Psr\Http\Message\ResponseInterface as Response;
use Psr\Http\Message\ServerRequestInterface as Request;
use Psr\Http\Server\MiddlewareInterface as Middleware;
use Psr\Http\Server\RequestHandlerInterface as RequestHandler;
use Slim\Csrf\Guard as Guard;

class CsrfMiddleware extends Guard implements Middleware
{

    /**
     * Process middleware
     *
     * @param  ServerRequestInterface  $request  request object
     * @param  RequestHandlerInterface $handler handler object
     *
     * @return ResponseInterface response object
     */
    public function process(Request $request, RequestHandler $handler): Response
    {
        $this->validateStorage();
        // Validate POST, PUT, DELETE, PATCH requests
        if (in_array($request->getMethod(), ['POST', 'PUT', 'DELETE', 'PATCH'])) {
            $body = $request->getParsedBody();
            $body = $body ? (array) $body : [];
            $name = isset($body[$this->prefix . '_name']) ? $body[$this->prefix . '_name'] : false;
            $value = isset($body[$this->prefix . '_value']) ? $body[$this->prefix . '_value'] : false;
            if (!$name || !$value || !$this->validateToken($name, $value)) {
                // Need to regenerate a new token, as the validateToken removed the current one.
                $request = $this->generateNewToken($request);

                $failureCallable = $this->getFailureCallable();
                return $failureCallable($request, $handler);
            }
        }
        // Generate new CSRF token if persistentTokenMode is false, or if a valid keyPair has not yet been stored
        if (!$this->persistentTokenMode || !$this->loadLastKeyPair()) {
            $request = $this->generateNewToken($request);
        } elseif ($this->persistentTokenMode) {
            $pair = $this->loadLastKeyPair() ? $this->keyPair : $this->generateToken();
            $request = $this->attachRequestAttributes($request, $pair);
        }
        // Enforce the storage limit
        $this->enforceStorageLimit();

        return $handler->handle($request);
    }

    /**
     * Getter for failureCallable
     *
     * @return callable|\Closure
     */
    public function getFailureCallable()
    {
        if (is_null($this->failureCallable)) {
            $this->failureCallable = function (Request $request, RequestHandler $handler): Response {
                $response = $handler->handle($request);
                $stream = $response->getBody();
                $stream->write('CSRF fail');
                return $response->withStatus(400);
            };
        }
        return $this->failureCallable;
    }
}

`