Неверный токен CSRF. Попробуйте повторно отправить форму

Ответ 1

Вам нужно добавить _token в вашу форму i.e

{{ form_row(form._token) }}

На данный момент в вашей форме отсутствует поле токена CSRF. Если вы используете функции формы твига для рендеринга вашей формы, например form(form), это автоматически отобразит поле маркера CSRF для вас, но ваш код показывает, что вы создаете форму с необработанным HTML, например <form></form>, поэтому вам нужно вручную отобразить поле.

Или просто добавьте {{ form_rest(form) }} перед закрывающим тегом формы.

Согласно документам

Это отображает все поля, которые еще не были отображены для данного форма. Это хорошая идея всегда иметь это где-то внутри вашей формы так как это сделает скрытые поля для вас и сделает все поля, которые вы забыли чтобы сделать более очевидным (поскольку он отобразит поле для вас).

form_rest (просмотр, переменные)

Ответ 2

Также вы можете увидеть это сообщение об ошибке, если в вашей форме много элементов.

Эта опция в php.ini вызывает проблему

; How many GET/POST/COOKIE input variables may be accepted
 max_input_vars = 1000

Проблема в том, что поле _token пропускает запрос PUT (GET), поэтому вам нужно увеличить значение.

Также это касается больших файлов. Увеличение

upload_max_filesize

решит проблему.

Ответ 3

Это происходит потому, что формы по умолчанию содержат защиту CSRF, которая в некоторых случаях не нужна.

Вы можете отключить эту защиту CSRF в своем классе формы в методе getDefaultOptions следующим образом:

// Other methods omitted

public function getDefaultOptions(array $options)
{
    return array(
        'csrf_protection' => false,
        // Rest of options omitted
    );
}

Если вы не хотите отключать защиту CSRF, вам необходимо отобразить поле защиты CSRF в вашей форме. Это можно сделать, используя {{ form_rest(form) }} в вашем файле вида, например:

<form novalidate action="{{path('signup_index')}}" method="post" {{form_enctype(form)}} role="form" class="form-horizontal">
    <!-- Code omitted -->

    <div class="form-group">
        <div class="col-md-1 control-label">
            <input type="submit" value="submit">
        </div>

    </div>
    {{ form_rest(form) }}
</form>

{{ form_rest(form) }} отображает все поля, которые вы не ввели вручную.

Ответ 4

Перед тегом </form> поставьте:

{{ form_rest(form) }}

Он автоматически вставляет другие важные (скрытые) входы.

Ответ 5

В дополнение к предложениям других вы можете получить ошибки токена CSRF, если ваша память сеанса не работает.

В недавнем случае мой коллега изменил "session_prefix" на значение, в котором было пробел.

session_prefix: 'My Website'

Это сломало хранилище сеансов, что, в свою очередь, означало, что моя форма не могла получить токен CSRF из сеанса.

Ответ 6

У меня была эта проблема со странным поведением: очистка кеша браузера не исправила его, но очистка файлов cookie (то есть файлов cookie сеанса PHP) решила проблему.

Это нужно сделать после того, как вы проверили все другие ответы, включая проверку того, что у вас есть токен в поле ввода скрытой формы.

Ответ 7

У меня была эта ошибка в последнее время. Оказывается, мои настройки cookie были неправильными в config.yml. Добавление настроек cookie_path и cookie_domain в framework.session исправлено.

Ответ 8

Недавно я столкнулся с той же проблемой, и мой случай был чем-то, о чем здесь еще не говорилось:

Проблема была в том, что я тестировал его в домене localhost. Я не уверен, почему именно это было проблемой, но она начала работать после того, как я добавил псевдоним имени хоста для localhost в /etc/hosts следующим образом:

127.0.0.1        foobar

Возможно, что-то не так с сеансом при использовании Apache и localhost в качестве домена. Если кто-то может уточнить комментарии, я был бы рад отредактировать этот ответ, чтобы включить больше деталей.

Ответ 9

Если вы не хотите использовать form_row или form_rest и хотите получить доступ к значению _token в шаблоне ветки. Используйте следующее:

<input type="hidden" name="form[_token]" value="{{ form._token.vars.value }}" />

Ответ 10

В моем случае у меня возникла проблема с аннотацией maxSize в сущности, поэтому я увеличил ее с 2048 по 2004 год.

 /**
 * @Assert\File(
 *     maxSize = "20048k",
 *     mimeTypes = {"application/pdf", "application/x-pdf"},
 *     mimeTypesMessage = "Please upload a valid PDF"
 * )
 */
private $file;

надеюсь, что этот ответ поможет!

Ответ 11

Если вы преобразовали форму из простого HTML в веточку, убедитесь, что вы не пропустили удаление закрывающего тега </form>. Глупая ошибка, но поскольку я обнаружил это возможную причину этой проблемы.

Когда я получил эту ошибку, я не мог понять это сначала. Я использую form_start() и form_end() для создания формы, поэтому мне не нужно явно добавлять токен с помощью form_row(form._token) или использовать form_rest() для его получения. Он должен быть добавлен автоматически form_end().

Проблема заключалась в том, что представление, с которым я работал, было тем, что я преобразовал из простого HTML в веточку, и я пропустил удаление закрывающего тега </form>, поэтому вместо:

{{ form_end(form) }}

У меня было:

</form>
{{ form_end(form) }}

Это похоже на то, что может вызвать ошибку, но, по-видимому, это не так, поэтому, когда form_end() выводит form_rest(), форма уже закрыта. Фактически созданный источник страницы формы был таким:

<form>
    <!-- all my form fields... -->
</form>
<input type="hidden" id="item__token" name="item[_token]" value="SQAOs1xIAL8REI0evGMjOsatLbo6uDzqBjVFfyD0PE4" />
</form>

Очевидно, что решение состоит в том, чтобы удалить дополнительный закрывающий тег и, возможно, выпить еще немного кофе.

Ответ 12

Я столкнулся с подобной проблемой. Убедившись, что поле токена действительно отображено (см. Принятый ответ), я проверил свои куки. В моем браузере Chrome было 2 (!) Файла cookie для этого домена, по-видимому, потому что я запускал приложение в том же домене, что и другое приложение, но с другим портом (т.е. Mydomain.com установил исходный файл cookie во время работы приложения с ошибками). на mydomain.com:123) Теперь, видимо, Chrome отправил неправильный файл cookie, поэтому защита CSRF не смогла связать токен с правильным сеансом.

Исправление: очистите все куки для данного домена, убедитесь, что вы не запускаете несколько приложений в одном домене с разными портами.

Ответ 13

У меня была та же ошибка, но в моем случае проблема заключалась в том, что мое приложение использовало несколько доменов первого уровня, в то время как cookie использовал один. Удаление cookie_domain: ".%domain%" из framework.session в config.yml приводило к тому, что cookie по умолчанию использовался для любого домена, на котором была форма, и это config.yml проблему.

Ответ 14

Это кажется проблемой при использовании bootstrap, если вы не передаете форму {{form (form)}}. Кроме того, проблемы возникают только при вводе типа = "скрытый". Если вы проверите страницу с помощью формы, вы обнаружите, что скрытый ввод не является частью разметки вообще или визуализируется, но не представляется по какой-либо причине. Как было предложено выше, добавление {{form_rest (form)}} или перенос ввода, как показано ниже, должен сделать трюк.

<div class="form-group">
    <input type="hidden" name="_csrf_token" value="{{ csrf_token('authenticate') }}">
</div>