Problemas com CSRF

[ebiagi]

Olá, amigos!

Voltando ao cake depois de um tempo sem programar... Tô utilizando a versão 3.8 e me deparei com um probleminha de CSRF.

Utilizando o ACL aqui pra fazer permissões de usuários, no momento que fui iniciar meus testes de cadastro no banco deu o erro: "Missing CSRF token cookie".

Já olhei na documentação (https://book.cakephp.org/3/en/controllers/middleware.html) e também procurei algo na net, mas até agora não consegui resolver essa.

Se alguém puder dar uma força!

Valeu. 

[Rafael Queiroz]

Olá,

Esse tipo de problema acontece, ao tentar submeter formulários que não foram criados com helper Form. Você pode mostrar o código ?

--
--
CakePHP Tuga (cakephp-pt)
 
Utilize http://bin.cakephp.org para códigos
Cookbook: http://book.cakephp.org
 
Website do CakePHP: http://cakephp.org/
Website do grupo: http://groups.google.com/group/cakephp-pt?hl=pt-PT
---
Recebeu esta mensagem porque subscreveu ao grupo "CakePHP Tuga" do Grupos do Google.
Para anular a subscrição deste grupo e parar de receber emails do mesmo, envie um email para cakephp-pt+...@googlegroups.com.
Para ver este debate na Web, visite https://groups.google.com/d/msgid/cakephp-pt/f57d70a1-1b5a-4469-9680-c78d48c8d5f7%40googlegroups.com.

--

Best Regards,

Rafael F. Queiroz

[ebiagi]

Rafael, 

meu formulário é simples, um campo apenas e está dessa forma:

<?= $this->Form->create($grupo) ?>

    <fieldset>

        <legend><?= __('Add Grupo') ?></legend>

        <?php

            echo $this->Form->control('nome');

        ?>

    </fieldset>

    <?= $this->Form->button(__('Submit')) ?>

    <?= $this->Form->end() ?>

[Rafael Queiroz]

Como está a action do seu controlador ?

--
--
CakePHP Tuga (cakephp-pt)
 
Utilize http://bin.cakephp.org para códigos
Cookbook: http://book.cakephp.org
 
Website do CakePHP: http://cakephp.org/
Website do grupo: http://groups.google.com/group/cakephp-pt?hl=pt-PT
---
Recebeu esta mensagem porque subscreveu ao grupo "CakePHP Tuga" do Grupos do Google.
Para anular a subscrição deste grupo e parar de receber emails do mesmo, envie um email para cakephp-pt+...@googlegroups.com.

Para ver este debate na Web, visite https://groups.google.com/d/msgid/cakephp-pt/000b7978-e63c-4619-9679-385d5e9b03d0%40googlegroups.com.

[ebiagi]

Rafael, 

Assim está o método para adicionar um novo grupo:

    public function add()

    {

        $grupo = $this->Grupos->newEntity();

        if ($this->request->is('post')) {

            $grupo = $this->Grupos->patchEntity($grupo, $this->request->getData());

            if ($this->Grupos->save($grupo)) {

                $this->Flash->success(__('The grupo has been saved.'));

                return $this->redirect(['action' => 'index']);

            }

            $this->Flash->error(__('The grupo could not be saved. Please, try again.'));

        }

        $this->set(compact('grupo'));

    }

=========================

No appController eu carrego o componente dessa forma:

$this->loadComponent('Csrf');

=========================

No routes.php tem essas duas referências:

Router::scope('/', function (RouteBuilder $routes) {

    // Register scoped middleware for in scopes.

    $routes->registerMiddleware('csrf', new CsrfProtectionMiddleware([

        'httpOnly' => true

    ]));

    

    $routes->applyMiddleware('csrf');

Em quinta-feira, 9 de janeiro de 2020 16:42:07 UTC-3:30, ebiagi escreveu:

[Rafael Queiroz]

Csrf Component não deve está presente no AppController

https://book.cakephp.org/3/pt/controllers/components/csrf.html

Obsoleto desde a versão 3.5.0: Você deve usar Cross Site Request Forgery (CSRF) Middleware ao invés do CsrfComponent.

--
--
CakePHP Tuga (cakephp-pt)
 
Utilize http://bin.cakephp.org para códigos
Cookbook: http://book.cakephp.org
 
Website do CakePHP: http://cakephp.org/
Website do grupo: http://groups.google.com/group/cakephp-pt?hl=pt-PT
---
Recebeu esta mensagem porque subscreveu ao grupo "CakePHP Tuga" do Grupos do Google.
Para anular a subscrição deste grupo e parar de receber emails do mesmo, envie um email para cakephp-pt+...@googlegroups.com.

Para ver este debate na Web, visite https://groups.google.com/d/msgid/cakephp-pt/728b6b56-fa50-435a-93a1-dfda365247d7%40googlegroups.com.

[ebiagi]

Olá, Rafael. Realmente... na versão que estou utilizando eu resolvo isso através do Cross Site Request Forgery (CSRF) Middleware. No documentação fala que através do código abaixo, eu consigo proteger todas as ações do sistema.

// in src/Application.php
use Cake\Http\Middleware\CsrfProtectionMiddleware;

public function middleware($middlewareQueue) {
    $options = [
        // ...
    ];
    $csrf = new CsrfProtectionMiddleware($options);

    $middlewareQueue->add($csrf);
    return $middlewareQueue;
}

Sendo as opções são: 

• cookieNameO nome do cookie a ser enviado. O padrão é csrfToken.
• expiryQuanto tempo o token CSRF deve durar. O padrão é a sessão do navegador.
• secureSe o cookie será ou não definido com o sinalizador Secure. Ou seja, o cookie será definido apenas em uma conexão HTTPS e qualquer tentativa no HTTP normal falhará. O padrão é false.
• httpOnlySe o cookie será ou não definido com o sinalizador HttpOnly. O padrão é false.
• fieldO campo do formulário a ser verificado. O padrão é _csrfToken. Alterar isso também exigirá a configuração do FormHelper.

Ainda não consegui resolver o "CSRF token mismatch" mesmo com o código, mas sigo tentando...

Em quinta-feira, 9 de janeiro de 2020 16:42:07 UTC-3:30, ebiagi escreveu:

[Rafael Queiroz]

Removesse o load do component ?

--
--
CakePHP Tuga (cakephp-pt)
 
Utilize http://bin.cakephp.org para códigos
Cookbook: http://book.cakephp.org
 
Website do CakePHP: http://cakephp.org/
Website do grupo: http://groups.google.com/group/cakephp-pt?hl=pt-PT
---
Recebeu esta mensagem porque subscreveu ao grupo "CakePHP Tuga" do Grupos do Google.

Para anular a subscrição deste grupo e parar de receber emails do mesmo, envie um email para cakephp-pt+unsubscribe@googlegroups.com.
Para ver este debate na Web, visite https://groups.google.com/d/msgid/cakephp-pt/dcd3c999-c91e-4666-a204-b4186c955811%40googlegroups.com.

[ebiagi]

Faltava  isso, Valeu Rafael!

removi e agora exibe meu formulário de login, por exemplo, normalmente. Mas vejo que falta ainda alguma configuração no middleware. Não redireciona ao efetuar login!

Em quinta-feira, 9 de janeiro de 2020 16:42:07 UTC-3:30, ebiagi escreveu: