vendor/nelmio/security-bundle/src/EventListener/ContentSecurityPolicyListener.php line 67

Open in your IDE?
  1. <?php
  3. declare(strict_types=1);
  5. /*
  6.  * This file is part of the Nelmio SecurityBundle.
  7.  *
  8.  * (c) Nelmio <hello@nelm.io>
  9.  *
  10.  * For the full copyright and license information, please view the LICENSE
  11.  * file that was distributed with this source code.
  12.  */
  14. namespace Nelmio\SecurityBundle\EventListener;
  16. use Nelmio\SecurityBundle\ContentSecurityPolicy\DirectiveSet;
  17. use Nelmio\SecurityBundle\ContentSecurityPolicy\NonceGeneratorInterface;
  18. use Nelmio\SecurityBundle\ContentSecurityPolicy\ShaComputerInterface;
  19. use Symfony\Component\HttpFoundation\Request;
  20. use Symfony\Component\HttpKernel\Event\RequestEvent;
  21. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  22. use Symfony\Component\HttpKernel\KernelEvents;
  24. final class ContentSecurityPolicyListener extends AbstractContentTypeRestrictableListener
  25. {
  26.     private DirectiveSet $report;
  27.     private DirectiveSet $enforce;
  28.     private bool $compatHeaders;
  30.     /**
  31.      * @var list<string>
  32.      */
  33.     private array $hosts;
  34.     private ?string $_nonce null;
  35.     private ?string $scriptNonce null;
  36.     private ?string $styleNonce null;
  38.     /**
  39.      * @var array<string, list<string>>|null
  40.      */
  41.     private ?array $sha null;
  42.     private NonceGeneratorInterface $nonceGenerator;
  43.     private ShaComputerInterface $shaComputer;
  45.     /**
  46.      * @param list<string> $hosts
  47.      * @param list<string> $contentTypes
  48.      */
  49.     public function __construct(
  50.         DirectiveSet $report,
  51.         DirectiveSet $enforce,
  52.         NonceGeneratorInterface $nonceGenerator,
  53.         ShaComputerInterface $shaComputer,
  54.         bool $compatHeaders true,
  55.         array $hosts = [],
  56.         array $contentTypes = []
  57.     ) {
  58.         parent::__construct($contentTypes);
  59.         $this->report $report;
  60.         $this->enforce $enforce;
  61.         $this->compatHeaders $compatHeaders;
  62.         $this->hosts $hosts;
  63.         $this->nonceGenerator $nonceGenerator;
  64.         $this->shaComputer $shaComputer;
  65.     }
  67.     public function onKernelRequest(RequestEvent $e): void
  68.     {
  69.         if (!$e->isMainRequest()) {
  70.             return;
  71.         }
  73.         $this->sha = [];
  74.     }
  76.     public function addSha(string $directivestring $sha): void
  77.     {
  78.         if (null === $this->sha) {
  79.             // We're not in a request context, probably in a worker
  80.             // let's disable it to avoid memory leak
  81.             return;
  82.         }
  84.         $this->sha[$directive][] = $sha;
  85.     }
  87.     public function addScript(string $html): void
  88.     {
  89.         if (null === $this->sha) {
  90.             // We're not in a request context, probably in a worker
  91.             // let's disable it to avoid memory leak
  92.             return;
  93.         }
  95.         $this->sha['script-src'][] = $this->shaComputer->computeForScript($html);
  96.     }
  98.     public function addStyle(string $html): void
  99.     {
  100.         if (null === $this->sha) {
  101.             // We're not in a request context, probably in a worker
  102.             // let's disable it to avoid memory leak
  103.             return;
  104.         }
  106.         $this->sha['style-src'][] = $this->shaComputer->computeForStyle($html);
  107.     }
  109.     public function getReport(): DirectiveSet
  110.     {
  111.         return $this->report;
  112.     }
  114.     public function getEnforcement(): DirectiveSet
  115.     {
  116.         return $this->enforce;
  117.     }
  119.     public function getNonce(string $usage): string
  120.     {
  121.         $nonce $this->doGetNonce();
  123.         if ('script' === $usage) {
  124.             $this->scriptNonce $nonce;
  125.         } elseif ('style' === $usage) {
  126.             $this->styleNonce $nonce;
  127.         } else {
  128.             throw new \InvalidArgumentException('Invalid usage provided');
  129.         }
  131.         return $nonce;
  132.     }
  134.     public function onKernelResponse(ResponseEvent $e): void
  135.     {
  136.         if (!$e->isMainRequest()) {
  137.             return;
  138.         }
  140.         $request $e->getRequest();
  141.         $response $e->getResponse();
  143.         if ($response->isRedirection()) {
  144.             $this->_nonce null;
  145.             $this->styleNonce null;
  146.             $this->scriptNonce null;
  147.             $this->sha null;
  149.             return;
  150.         }
  152.         if (([] === $this->hosts || \in_array($e->getRequest()->getHost(), $this->hoststrue)) && $this->isContentTypeValid($response)) {
  153.             $signatures $this->sha;
  154.             if (null !== $this->scriptNonce) {
  155.                 $signatures['script-src'][] = 'nonce-'.$this->scriptNonce;
  156.             }
  157.             if (null !== $this->styleNonce) {
  158.                 $signatures['style-src'][] = 'nonce-'.$this->styleNonce;
  159.             }
  161.             if (!$response->headers->has('Content-Security-Policy-Report-Only')) {
  162.                 $response->headers->add($this->buildHeaders($request$this->reporttrue$this->compatHeaders$signatures));
  163.             }
  164.             if (!$response->headers->has('Content-Security-Policy')) {
  165.                 $response->headers->add($this->buildHeaders($request$this->enforcefalse$this->compatHeaders$signatures));
  166.             }
  167.         }
  169.         $this->_nonce null;
  170.         $this->styleNonce null;
  171.         $this->scriptNonce null;
  172.         $this->sha null;
  173.     }
  175.     public static function getSubscribedEvents(): array
  176.     {
  177.         return [
  178.             KernelEvents::REQUEST => ['onKernelRequest'512],
  179.             KernelEvents::RESPONSE => 'onKernelResponse',
  180.         ];
  181.     }
  183.     private function doGetNonce(): string
  184.     {
  185.         if (null === $this->_nonce) {
  186.             $this->_nonce $this->nonceGenerator->generate();
  187.         }
  189.         return $this->_nonce;
  190.     }
  192.     /**
  193.      * @param array<string, list<string>>|null $signatures
  194.      *
  195.      * @return array<string, string>
  196.      */
  197.     private function buildHeaders(
  198.         Request $request,
  199.         DirectiveSet $directiveSet,
  200.         bool $reportOnly,
  201.         bool $compatHeaders,
  202.         ?array $signatures null
  203.     ): array {
  204.         // $signatures might be null if no KernelEvents::REQUEST has been triggered.
  205.         // for instance if a security.authentication.failure has been dispatched
  206.         $headerValue $directiveSet->buildHeaderValue($request$signatures);
  208.         if ('' === $headerValue) {
  209.             return [];
  210.         }
  212.         $hn = static function (string $name) use ($reportOnly): string {
  213.             return $name.($reportOnly '-Report-Only' '');
  214.         };
  216.         $headers = [
  217.             $hn('Content-Security-Policy') => $headerValue,
  218.         ];
  220.         if ($compatHeaders) {
  221.             $headers[$hn('X-Content-Security-Policy')] = $headerValue;
  222.         }
  224.         return $headers;
  225.     }
  226. }