symfony 2 csrf selective enable?

Question

요청의 내부 인증을 사용하는 백엔드 앱을 작성 중이므로 실제 사용자에게 노출되는 양식 수가 적은 것을 제외하면 CSRF는 필요하지 않습니다.

config.yml에서 CSRF를 비활성화했지만 특정 양식에 대해 활성화하려고합니다. 문서에 따르면,이 트릭을해야합니다 :

public function setDefaultOptions(OptionsResolverInterface $resolver) { 
    $resolver->setDefaults(array(
     // FIXME: this doesn't work, I still don't get CSRF ? 
     'csrf_protection' => true, 
     'csrf_field_name' => '_token', 
    )); 
} 

하지만 난,이 양식에 CSRF 토큰을 얻을하지 않습니다. 내 나뭇 가지 파일은 다음과 같이 말합니다 :

<form action="{{ path('mypath') }}" method="post" {{ form_enctype(form) }}> 
    {{ form_widget(form) }} 
    <button name="submit">{{ 'register.submit'|trans }}</button> 
</form> 

그래야 작동합니다. 뭐가 문제 야?

Answer 1

문제는 config.yml에서 CSRF를 비활성화했을 때 프로젝트에 CSRFExtension을로드하지 않겠다는 것입니다. 방금 "글로벌 방식으로"사용 중지했습니다. 그 후에는 사용할 수 없습니다.

여기 코드 수행 방법은 Symfony\Bundle\FrameworkBundle\DependencyInjection\FrameworkExtension::registerFormConfiguration($config, ContainerBuilder $container, XmlFileLoader $loader)입니다.

귀하의 경우에이 행은 false를 반환합니다.

$this->isConfigEnabled($container, $config['csrf_protection']) // this returns false 

그래서 CSRFExtension이로드되지 않았습니다.

당신이 그것을 여기에 어떻게 작동하는지 읽어 config.yml과 확장 사이에 어떤 관계하지 않은 경우 : http://symfony.com/doc/current/cookbook/bundles/extension.html