symfony 2 csrf выборочное разрешение?

Question

Я пишу backend-приложение, которое имеет внутреннюю аутентификацию запросов, поэтому мне не нужен CSRF - за исключением небольшого количества форм, которые фактически отображаются пользователю.

Поэтому я отключил CSRF в config.yml, но я хочу включить его для определенных форм. Согласно документации, это должны сделать трюк:

public function setDefaultOptions(OptionsResolverInterface $resolver) { 
    $resolver->setDefaults(array(
     // FIXME: this doesn't work, I still don't get CSRF ? 
     'csrf_protection' => true, 
     'csrf_field_name' => '_token', 
    )); 
} 

, но это не так, я до сих пор не получают маркер CSRF в этой форме. Мой файл с ветками говорит:

<form action="{{ path('mypath') }}" method="post" {{ form_enctype(form) }}> 
    {{ form_widget(form) }} 
    <button name="submit">{{ 'register.submit'|trans }}</button> 
</form> 

Так что это тоже должно работать. В чем проблема?

Answer 1

Проблема в том, что когда вы отключили CSRF в config.yml, вы сказали, что не хотите, чтобы CSRFExtension загружался в ваш проект. Вы просто отключили его «по-глобальному». Поэтому вы не можете использовать его после этого.

Вы можете увидеть в коде, как это делается здесь: Symfony\Bundle\FrameworkBundle\DependencyInjection\FrameworkExtension::registerFormConfiguration($config, ContainerBuilder $container, XmlFileLoader $loader).

Вы можете видеть, что в вашем случае эта строка возвращает false.

$this->isConfigEnabled($container, $config['csrf_protection']) // this returns false 

И поэтому CSRFExtension не был загружен.

Если вы не получите то, что соотношение между config.yml и расширениями, читать, как он работает здесь: http://symfony.com/doc/current/cookbook/bundles/extension.html