vendor/shopware/storefront/Framework/Csrf/CsrfPlaceholderHandler.php line 49

Open in your IDE?
  1. <?php declare(strict_types=1);
  3. namespace Shopware\Storefront\Framework\Csrf;
  5. use Shopware\Core\Framework\Feature;
  6. use Symfony\Component\HttpFoundation\Cookie;
  7. use Symfony\Component\HttpFoundation\Request;
  8. use Symfony\Component\HttpFoundation\RequestStack;
  9. use Symfony\Component\HttpFoundation\Response;
  10. use Symfony\Component\HttpFoundation\Session\Session;
  11. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  12. use Symfony\Component\HttpFoundation\Session\Storage\SessionStorageFactoryInterface;
  13. use Symfony\Component\HttpFoundation\StreamedResponse;
  14. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  16. /**
  17.  * @deprecated tag:v6.5.0 - class will be removed as the csrf system will be removed in favor for the samesite approach
  18.  */
  19. class CsrfPlaceholderHandler
  20. {
  21.     public const CSRF_PLACEHOLDER 'f0dc837a455f5e7b23d4855cf14.-oJYlp3kXgE-TrPen2c6tzC-ZV5DmBqi74Bx5nxn1Z0.i7UI18qmKWJ5H_W1ryhlw2_fXBIMz0WWu80J0jMDr6nLyDPUqooyM3YXwA007700">;
  23.     private CsrfTokenManagerInterface $csrfTokenManager;
  25.     private bool $csrfEnabled;
  27.     private string $csrfMode;
  29.     private RequestStack $requestStack;
  31.     private SessionStorageFactoryInterface $sessionFactory;
  33.     /**
  34.      * @internal
  35.      */
  36.     public function __construct(CsrfTokenManagerInterface $csrfTokenManagerbool $csrfEnabledstring $csrfModeRequestStack $requestStackSessionStorageFactoryInterface $sessionFactory)
  37.     {
  38.         $this->csrfTokenManager $csrfTokenManager;
  39.         $this->csrfEnabled $csrfEnabled;
  40.         $this->csrfMode $csrfMode;
  41.         $this->requestStack $requestStack;
  42.         $this->sessionFactory $sessionFactory;
  43.     }
  45.     public function replaceCsrfToken(Response $responseRequest $request): Response
  46.     {
  47.         Feature::triggerDeprecationOrThrow(
  48.             'v6.5.0.0',
  49.             Feature::deprecatedClassMessage(__CLASS__'v6.5.0.0')
  50.         );
  52.         if ($response instanceof StreamedResponse) {
  53.             return $response;
  54.         }
  56.         if (!$this->csrfEnabled || $this->csrfMode !== CsrfModes::MODE_TWIG) {
  57.             return $response;
  58.         }
  60.         if ($response->getStatusCode() !== Response::HTTP_OK && $response->getStatusCode() !== Response::HTTP_NOT_FOUND) {
  61.             return $response;
  62.         }
  64.         $content $response->getContent();
  66.         if ($content === false) {
  67.             return $response;
  68.         }
  70.         // Early return if the placeholder is not present in body to save cpu cycles with the regex
  71.         if (!\str_contains($contentself::CSRF_PLACEHOLDER)) {
  72.             return $response;
  73.         }
  75.         // Get session from session provider if not provided in session. This happens when the page is fully cached
  76.         $session $request->hasSession() ? $request->getSession() : $this->createSession($request);
  77.         $request->setSession($session);
  79.         if ($session !== null) {
  80.             // StorefrontSubscriber did not run and set the session name. This can happen when the page is fully cached in the http cache
  81.             if (!$session->isStarted()) {
  82.                 $session->setName('session-');
  83.             }
  85.             // The SessionTokenStorage gets the session from the RequestStack. This is at this moment empty as the Symfony request cycle did run already
  86.             $this->requestStack->push($request);
  87.         }
  89.         $processedIntents = [];
  91.         // https://regex101.com/r/fefx3V/1
  92.         $content preg_replace_callback(
  93.             '/' self::CSRF_PLACEHOLDER '(?<intent>[^#]*)#/',
  94.             function ($matches) use ($response$request, &$processedIntents) {
  95.                 $intent $matches['intent'];
  96.                 $token $processedIntents[$intent] ?? null;
  98.                 // Don't generate the token and set the cookie again
  99.                 if ($token === null) {
  100.                     $token $this->getToken($intent);
  101.                     $cookie Cookie::create('csrf[' $intent ']'$token);
  102.                     $cookie->setSecureDefault($request->isSecure());
  103.                     $response->headers->setCookie($cookie);
  104.                     $processedIntents[$intent] = $token;
  105.                 }
  107.                 return $token;
  108.             },
  109.             $content
  110.         );
  112.         $response->setContent($content);
  114.         if ($session !== null) {
  115.             // Pop out the request injected some lines above. This is important for long running applications with roadrunner or swoole
  116.             $this->requestStack->pop();
  117.         }
  119.         return $response;
  120.     }
  122.     private function getToken(string $intent): string
  123.     {
  124.         return $this->csrfTokenManager->getToken($intent)->getValue();
  125.     }
  127.     private function createSession(Request $request): SessionInterface
  128.     {
  129.         $session = new Session($this->sessionFactory->createStorage($request));
  130.         $session->setName('session-');
  131.         $request->setSession($session);
  133.         return $session;
  134.     }
  135. }