vendor/contao/core-bundle/src/Resources/contao/library/Contao/RequestToken.php line 15

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of Contao.
  5.  *
  6.  * (c) Leo Feyer
  7.  *
  8.  * @license LGPL-3.0-or-later
  9.  */
  11. namespace Contao;
  13. use Symfony\Component\Security\Csrf\CsrfToken;
  15. @trigger_error('Using the "Contao\RequestToken" class has been deprecated and will no longer work in Contao 5.0. Use the Symfony CSRF service via the container instead.'E_USER_DEPRECATED);
  17. /**
  18.  * Generates and validates request tokens
  19.  *
  20.  * The class tries to read and validate the request token from the user session
  21.  * and creates a new token if there is none.
  22.  *
  23.  * Usage:
  24.  *
  25.  *     echo RequestToken::get();
  26.  *
  27.  *     if (!RequestToken::validate('TOKEN'))
  28.  *     {
  29.  *         throw new Exception("Invalid request token");
  30.  *     }
  31.  *
  32.  * @author Leo Feyer <https://github.com/leofeyer>
  33.  *
  34.  * @deprecated Deprecated since Contao 4.0, to be removed in Contao 5.0.
  35.  *             Use the Symfony CSRF service via the container instead.
  36.  */
  37. class RequestToken
  38. {
  39.     /**
  40.      * Read the token from the session or generate a new one
  41.      */
  42.     public static function initialize()
  43.     {
  44.         // ignore
  45.     }
  47.     /**
  48.      * Return the token
  49.      *
  50.      * @return string The request token
  51.      */
  52.     public static function get()
  53.     {
  54.         $container System::getContainer();
  56.         return $container->get('contao.csrf.token_manager')->getToken($container->getParameter('contao.csrf_token_name'))->getValue();
  57.     }
  59.     /**
  60.      * Validate a token
  61.      *
  62.      * @param string $strToken The request token
  63.      *
  64.      * @return boolean True if the token matches the stored one
  65.      */
  66.     public static function validate($strToken)
  67.     {
  68.         // The feature has been disabled
  69.         if (\defined('BYPASS_TOKEN_CHECK') || Config::get('disableRefererCheck'))
  70.         {
  71.             return true;
  72.         }
  74.         // Check against the whitelist (thanks to Tristan Lins) (see #3164)
  75.         if (Config::get('requestTokenWhitelist'))
  76.         {
  77.             $strHostname gethostbyaddr($_SERVER['REMOTE_ADDR']);
  79.             foreach (Config::get('requestTokenWhitelist') as $strDomain)
  80.             {
  81.                 if ($strDomain == $strHostname || preg_match('/\.' preg_quote($strDomain'/') . '$/'$strHostname))
  82.                 {
  83.                     return true;
  84.                 }
  85.             }
  86.         }
  88.         $container System::getContainer();
  90.         return $container->get('contao.csrf.token_manager')->isTokenValid(new CsrfToken($container->getParameter('contao.csrf_token_name'), $strToken));
  91.     }
  92. }
  94. class_alias(RequestToken::class, 'RequestToken');