vendor/pimcore/pimcore/bundles/AdminBundle/EventListener/CsrfProtectionListener.php line 66

Open in your IDE?
  1. <?php
  2. /**
  3.  * Pimcore
  4.  *
  5.  * This source file is available under two different licenses:
  6.  * - GNU General Public License version 3 (GPLv3)
  7.  * - Pimcore Enterprise License (PEL)
  8.  * Full copyright and license information is available in
  9.  * LICENSE.md which is distributed with this source code.
  10.  *
  11.  * @copyright  Copyright (c) Pimcore GmbH (http://www.pimcore.org)
  12.  * @license    http://www.pimcore.org/license     GPLv3 and PEL
  13.  */
  15. namespace Pimcore\Bundle\AdminBundle\EventListener;
  17. use Pimcore\Bundle\CoreBundle\EventListener\Traits\PimcoreContextAwareTrait;
  18. use Pimcore\Http\Request\Resolver\PimcoreContextResolver;
  19. use Pimcore\Templating\PhpEngine;
  20. use Pimcore\Tool\Session;
  21. use Psr\Log\LoggerAwareTrait;
  22. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  23. use Symfony\Component\HttpFoundation\Request;
  24. use Symfony\Component\HttpFoundation\Session\Attribute\AttributeBagInterface;
  25. use Symfony\Component\HttpKernel\Event\GetResponseEvent;
  26. use Symfony\Component\HttpKernel\Exception\AccessDeniedHttpException;
  27. use Symfony\Component\HttpKernel\KernelEvents;
  29. class CsrfProtectionListener implements EventSubscriberInterface
  30. {
  31.     use PimcoreContextAwareTrait;
  32.     use LoggerAwareTrait;
  34.     protected $excludedRoutes = [];
  36.     protected $csrfToken null;
  38.     /**
  39.      * @var PhpEngine
  40.      */
  41.     protected $phpTemplatingEngine;
  43.     /**
  44.      * @param array $excludedRoutes
  45.      * @param PhpEngine $phpTemplatingEngine
  46.      */
  47.     public function __construct($excludedRoutesPhpEngine $phpTemplatingEngine)
  48.     {
  49.         $this->excludedRoutes $excludedRoutes;
  50.         $this->phpTemplatingEngine $phpTemplatingEngine;
  51.     }
  53.     /**
  54.      * @inheritDoc
  55.      */
  56.     public static function getSubscribedEvents()
  57.     {
  58.         return [
  59.             KernelEvents::REQUEST => ['handleRequest'11]
  60.         ];
  61.     }
  63.     /**
  64.      * @param GetResponseEvent $event
  65.      */
  66.     public function handleRequest(GetResponseEvent $event)
  67.     {
  68.         $request $event->getRequest();
  69.         if (!$this->matchesPimcoreContext($requestPimcoreContextResolver::CONTEXT_ADMIN)) {
  70.             return;
  71.         }
  73.         $this->phpTemplatingEngine->addGlobal('csrfToken'$this->getCsrfToken());
  75.         if ($request->getMethod() == Request::METHOD_GET) {
  76.             return;
  77.         }
  79.         $exludedRoutes = [
  80.             // WebDAV
  81.             'pimcore_admin_webdav',
  83.             // external applications
  84.             'pimcore_admin_external_opcache_index',
  85.             'pimcore_admin_external_linfo_index''pimcore_admin_external_linfo_layout',
  86.             'pimcore_admin_external_adminer_adminer''pimcore_admin_external_adminer_proxy',
  87.             'pimcore_admin_external_adminer_proxy_1''pimcore_admin_external_adminer_proxy_2',
  88.         ];
  90.         $route $request->attributes->get('_route');
  91.         if (in_array($route$exludedRoutes) || in_array($route$this->excludedRoutes)) {
  92.             return;
  93.         }
  95.         $this->checkCsrfToken($request);
  96.     }
  98.     /**
  99.      * @param Request $request
  100.      */
  101.     public function checkCsrfToken(Request $request)
  102.     {
  103.         $csrfToken $this->getCsrfToken();
  104.         $requestCsrfToken $request->headers->get('x_pimcore_csrf_token');
  105.         if (!$requestCsrfToken) {
  106.             $requestCsrfToken $request->get('csrfToken');
  107.         }
  109.         if (!$csrfToken || $csrfToken !== $requestCsrfToken) {
  110.             $this->logger->error('Detected CSRF attack on {request}', [
  111.                 'request' => $request->getPathInfo()
  112.             ]);
  114.             throw new AccessDeniedHttpException('Detected CSRF Attack! Do not do evil things with pimcore ... ;-)');
  115.         }
  116.     }
  118.     /**
  119.      * @return string
  120.      */
  121.     public function getCsrfToken()
  122.     {
  123.         if (!$this->csrfToken) {
  124.             $this->csrfToken Session::getReadOnly()->get('csrfToken');
  125.             if (!$this->csrfToken) {
  126.                 $this->csrfToken Session::useSession(function (AttributeBagInterface $adminSession) {
  127.                     if (!$adminSession->has('csrfToken') && !$adminSession->get('csrfToken')) {
  128.                         $adminSession->set('csrfToken'sha1(generateRandomSymfonySecret()));
  129.                     }
  131.                     return $adminSession->get('csrfToken');
  132.                 });
  133.             }
  134.         }
  136.         return $this->csrfToken;
  137.     }
  139.     public function regenerateCsrfToken()
  140.     {
  141.         $this->csrfToken Session::useSession(function (AttributeBagInterface $adminSession) {
  142.             $token sha1(generateRandomSymfonySecret());
  143.             $adminSession->set('csrfToken'$token);
  145.             return $token;
  146.         });
  148.         $this->phpTemplatingEngine->addGlobal('csrfToken'$this->csrfToken);
  149.     }
  150. }