在身份验证时停止重新生成/使CSRF无效

Question

当前，我的页面上有表单，不管用户是否登录，这些表单都在那里。一旦用户登录，他们就会收到其中一个表单(使用CSRF)。

问题是，如果此框是在身份验证之后出现的，则CSRF令牌将失效。我已经确认了这一点，允许自己提交表单而不进行身份验证检查，$form->isValid()返回true，而登录后给出的false错误为：

CSRF令牌无效。请尽量重新提交表格。

我想有三种解决方案--停止Symfony在身份验证中重新生成/使CSRF令牌失效，从这些表单中删除CSRF令牌，或者在身份验证之后生成我的表单(不过，我宁愿避免这种情况)。我的当前解决方案是传递一个带有身份验证和设置forms令牌input值的新CSRF令牌。

附加：有人知道如何查看当前分配的所有CSRF令牌吗？这次会议似乎不能容纳他们。

Answer 1

感谢@MarkFox为我指点这个CWE --尽管我知道它是通过设计完成的，但我希望有一种方法可以让我避免沿着最后的路线走下去。

对于任何感兴趣的人，加拿大妇女教育委员会指出：

对用户进行身份验证，或以其他方式建立新的用户会话，而不使任何现有会话标识符无效，攻击者就有机会窃取经过身份验证的会话。

出于这个原因，我建议您沿着我最后的路径，发送新的通过AJAX请求令牌，并将它们放入相关的表单中。

Answer 2

通常的方法是，当某人成功登录时，整个页面将被刷新，因为可能会显示不同的数据，并为用户定制。

然而，如果你真的不想这样做，你会说：

我的当前解决方案是传递一个带有身份验证和设置forms令牌输入值的新CSRF令牌。

就这么做吧。这没什么不好的。