vendor/contao/core-bundle/src/Resources/contao/library/Contao/RequestToken.php line 16

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of Contao.
  5.  *
  6.  * (c) Leo Feyer
  7.  *
  8.  * @license LGPL-3.0-or-later
  9.  */
  11. namespace Contao;
  13. use Contao\CoreBundle\Csrf\ContaoCsrfTokenManager;
  14. use Symfony\Component\Security\Csrf\CsrfToken;
  16. @trigger_error('Using the "Contao\RequestToken" class has been deprecated and will no longer work in Contao 5.0. Use the Symfony CSRF service via the container instead.'E_USER_DEPRECATED);
  18. /**
  19.  * Generates and validates request tokens
  20.  *
  21.  * The class tries to read and validate the request token from the user session
  22.  * and creates a new token if there is none.
  23.  *
  24.  * Usage:
  25.  *
  26.  *     echo RequestToken::get();
  27.  *
  28.  *     if (!RequestToken::validate('TOKEN'))
  29.  *     {
  30.  *         throw new Exception("Invalid request token");
  31.  *     }
  32.  *
  33.  * @author Leo Feyer <https://github.com/leofeyer>
  34.  *
  35.  * @deprecated Deprecated since Contao 4.0, to be removed in Contao 5.0.
  36.  *             Use the Symfony CSRF service via the container instead.
  37.  */
  38. class RequestToken
  39. {
  40.     /**
  41.      * Read the token from the session or generate a new one
  42.      */
  43.     public static function initialize()
  44.     {
  45.         // ignore
  46.     }
  48.     /**
  49.      * Return the token
  50.      *
  51.      * @return string The request token
  52.      */
  53.     public static function get()
  54.     {
  55.         $container System::getContainer();
  57.         return $container->get(ContaoCsrfTokenManager::class)->getToken($container->getParameter('contao.csrf_token_name'))->getValue();
  58.     }
  60.     /**
  61.      * Validate a token
  62.      *
  63.      * @param string $strToken The request token
  64.      *
  65.      * @return boolean True if the token matches the stored one
  66.      */
  67.     public static function validate($strToken)
  68.     {
  69.         // The feature has been disabled
  70.         if (\defined('BYPASS_TOKEN_CHECK') || Config::get('disableRefererCheck'))
  71.         {
  72.             return true;
  73.         }
  75.         // Check against the whitelist (thanks to Tristan Lins) (see #3164)
  76.         if (Config::get('requestTokenWhitelist'))
  77.         {
  78.             $strHostname gethostbyaddr($_SERVER['REMOTE_ADDR']);
  80.             foreach (Config::get('requestTokenWhitelist') as $strDomain)
  81.             {
  82.                 if ($strDomain == $strHostname || preg_match('/\.' preg_quote($strDomain'/') . '$/'$strHostname))
  83.                 {
  84.                     return true;
  85.                 }
  86.             }
  87.         }
  89.         $container System::getContainer();
  91.         return $container->get(ContaoCsrfTokenManager::class)->isTokenValid(new CsrfToken($container->getParameter('contao.csrf_token_name'), $strToken));
  92.     }
  93. }
  95. class_alias(RequestToken::class, 'RequestToken');