vendor/nelmio/security-bundle/EventListener/ContentSecurityPolicyListener.php line 55

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Nelmio SecurityBundle.
  5.  *
  6.  * (c) Nelmio <hello@nelm.io>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Nelmio\SecurityBundle\EventListener;
  14. use Nelmio\SecurityBundle\ContentSecurityPolicy\NonceGenerator;
  15. use Nelmio\SecurityBundle\ContentSecurityPolicy\ShaComputer;
  16. use Symfony\Component\HttpFoundation\Request;
  17. use Symfony\Component\HttpKernel\Event\FilterResponseEvent;
  18. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  19. use Symfony\Component\HttpKernel\Event\GetResponseEvent;
  20. use Symfony\Component\HttpKernel\Event\RequestEvent;
  21. use Symfony\Component\HttpKernel\HttpKernelInterface;
  22. use Symfony\Component\HttpKernel\KernelEvents;
  23. use Nelmio\SecurityBundle\ContentSecurityPolicy\DirectiveSet;
  25. /**
  26.  * @final
  27.  */
  28. class ContentSecurityPolicyListener extends AbstractContentTypeRestrictableListener
  29. {
  30.     protected $report;
  31.     protected $enforce;
  32.     protected $compatHeaders;
  33.     protected $hosts;
  34.     protected $_nonce;
  35.     protected $scriptNonce;
  36.     protected $styleNonce;
  37.     protected $sha;
  38.     protected $nonceGenerator;
  39.     protected $shaComputer;
  41.     public function __construct(DirectiveSet $reportDirectiveSet $enforceNonceGenerator $nonceGeneratorShaComputer $shaComputer$compatHeaders true, array $hosts = array(), array $contentTypes = array())
  42.     {
  43.         parent::__construct($contentTypes);
  44.         $this->report $report;
  45.         $this->enforce $enforce;
  46.         $this->compatHeaders $compatHeaders;
  47.         $this->hosts $hosts;
  48.         $this->nonceGenerator $nonceGenerator;
  49.         $this->shaComputer $shaComputer;
  50.     }
  52.     /**
  53.      * @param GetResponseEvent|RequestEvent $e
  54.      */
  55.     public function onKernelRequest($e)
  56.     {
  57.         // Compatibility with Symfony < 5 and Symfony >=5
  58.         if (!$e instanceof GetResponseEvent && !$e instanceof RequestEvent) {
  59.             throw new \InvalidArgumentException(\sprintf('Expected instance of type %s, %s given'\class_exists(RequestEvent::class) ? RequestEvent::class : GetResponseEvent::class, \is_object($e) ? \get_class($e) : \gettype($e)));
  60.         }
  62.         if ($e->getRequestType() !== HttpKernelInterface::MASTER_REQUEST) {
  63.             return;
  64.         }
  66.         $this->sha = array();
  67.     }
  69.     public function addSha($directive$sha)
  70.     {
  71.         if (null === $this->sha) {
  72.             // We're not in a request context, probably in a worker
  73.             // let's disable it to avoid memory leak
  74.             return;
  75.         }
  77.         $this->sha[$directive][] = $sha;
  78.     }
  80.     public function addScript($html)
  81.     {
  82.         if (null === $this->sha) {
  83.             // We're not in a request context, probably in a worker
  84.             // let's disable it to avoid memory leak
  85.             return;
  86.         }
  88.         $this->sha['script-src'][] = $this->shaComputer->computeForScript($html);
  89.     }
  91.     public function addStyle($html)
  92.     {
  93.         if (null === $this->sha) {
  94.             // We're not in a request context, probably in a worker
  95.             // let's disable it to avoid memory leak
  96.             return;
  97.         }
  99.         $this->sha['style-src'][] = $this->shaComputer->computeForStyle($html);
  100.     }
  102.     public function getReport()
  103.     {
  104.         return $this->report;
  105.     }
  107.     public function getEnforcement()
  108.     {
  109.         return $this->enforce;
  110.     }
  112.     public function getNonce($usage null)
  113.     {
  114.         $nonce $this->doGetNonce();
  116.         if ($usage === null) {
  117.             @trigger_error('Retrieving a nonce without a usage is deprecated since version 2.4, and will be removed in version 3'E_USER_DEPRECATED);
  119.             $this->scriptNonce $nonce;
  120.             $this->styleNonce $nonce;
  121.         } elseif ($usage === 'script') {
  122.             $this->scriptNonce $nonce;
  123.         } elseif ($usage === 'style') {
  124.             $this->styleNonce $nonce;
  125.         } else {
  126.             throw new \InvalidArgumentException('Invalid usage provided');
  127.         }
  129.         return $nonce;
  130.     }
  132.     private function doGetNonce() {
  133.         if (null === $this->_nonce) {
  134.             $this->_nonce $this->nonceGenerator->generate();
  135.         }
  137.         return $this->_nonce;
  138.     }
  140.     /**
  141.      * @param FilterResponseEvent|ResponseEvent $e
  142.      */
  143.     public function onKernelResponse($e)
  144.     {
  145.         // Compatibility with Symfony < 5 and Symfony >=5
  146.         if (!$e instanceof FilterResponseEvent && !$e instanceof ResponseEvent) {
  147.             throw new \InvalidArgumentException(\sprintf('Expected instance of type %s, %s given'\class_exists(ResponseEvent::class) ? ResponseEvent::class : FilterResponseEvent::class, \is_object($e) ? \get_class($e) : \gettype($e)));
  148.         }
  150.         if (HttpKernelInterface::MASTER_REQUEST !== $e->getRequestType()) {
  151.             return;
  152.         }
  154.         $request $e->getRequest();
  155.         $response $e->getResponse();
  157.         if ($response->isRedirection()) {
  158.             $this->_nonce null;
  159.             $this->styleNonce null;
  160.             $this->scriptNonce null;
  161.             $this->sha null;
  163.             return;
  164.         }
  166.         if ((empty($this->hosts) || in_array($e->getRequest()->getHost(), $this->hoststrue)) && $this->isContentTypeValid($response)) {
  167.             $signatures $this->sha;
  168.             if ($this->scriptNonce) {
  169.                 $signatures['script-src'][] = 'nonce-'.$this->scriptNonce;
  170.             }
  171.             if ($this->styleNonce) {
  172.                 $signatures['style-src'][] = 'nonce-'.$this->styleNonce;
  173.             }
  175.             $response->headers->add($this->buildHeaders($request$this->reporttrue$this->compatHeaders$signatures));
  176.             $response->headers->add($this->buildHeaders($request$this->enforcefalse$this->compatHeaders$signatures));
  177.         }
  179.         $this->_nonce null;
  180.         $this->styleNonce null;
  181.         $this->scriptNonce null;
  182.         $this->sha null;
  183.     }
  185.     private function buildHeaders(Request $requestDirectiveSet $directiveSet$reportOnly$compatHeaders, array $signatures null)
  186.     {
  187.         // $signatures might be null if no KernelEvents::REQUEST has been triggered.
  188.         // for instance if a security.authentication.failure has been dispatched
  189.         $headerValue $directiveSet->buildHeaderValue($request$signatures);
  191.         if (!$headerValue) {
  192.             return array();
  193.         }
  195.         $hn = function ($name) use ($reportOnly) {
  196.             return $name.($reportOnly '-Report-Only' '');
  197.         };
  199.         $headers = array(
  200.             $hn('Content-Security-Policy') => $headerValue,
  201.         );
  203.         if ($compatHeaders) {
  204.             $headers[$hn('X-Content-Security-Policy')] = $headerValue;
  205.         }
  207.         return $headers;
  208.     }
  210.     /**
  211.      * @return array
  212.      */
  213.     public static function getSubscribedEvents()
  214.     {
  215.         return array(
  216.             KernelEvents::REQUEST => array('onKernelRequest'512),
  217.             KernelEvents::RESPONSE => 'onKernelResponse',
  218.         );
  219.     }
  220. }